Ds 2011:7
Sekretess för finansiella företag
1. Sammanfattning
Regleringen av den finansiella tystnadsplikten har sedan lång tid utpekats av regeringen som ett område i behov av översyn. Inom försäkringsområdet finns det idag inte någon regel om generell tystnadsplikt för anställda i försäkringsföretag. Frågan om en lagstadgad tystnadsplikt för försäkringsbolag har även den diskuterats under lång tid. Regeringen har nyligen pekat på att frågan är angelägen och aviserat att förutsättningarna och formerna för en författningsreglerad tystnadsplikt ska analyseras närmare.1
Begreppet sekretess är i svensk rätt främst knutet till reglerna om allmänna handlingars offentlighet i tryckfrihetsordningen. Offentlighets- och sekretesslagen (2009:400) behandlar såväl förbud mot att lämna ut allmänna handlingar som tystnadsplikt i det allmännas verksamhet. Sekretess enligt lagen innebär att förbud råder att röja en uppgift vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Inom det privata området finns särskilda bestämmelser om tystnadsplikt inom flera olika verksamhetsområden. Det är därför egentligen missvisande att tala om sekretess inom enskild verksamhet. Likväl används begreppet sekretess ofta synonymt med tystnadsplikt och begreppet banksekretess är ett bra exempel härpå. I det följande används således sekretess med samma betydelse som tystnadsplikt.
Jag har haft i uppdrag att närmare analysera förutsättningarna och formerna för en författningsreglerad tystnadsplikt för
Sammanfattning Ds 2011:7
anställda i försäkringsföretag. Arbetet ska även innefatta en översyn av gällande sekretessregler på bank- och värdepappersmarknadsområdet och förslag till lagstiftning ska lämnas i dessa frågor.
Utredningsarbetet har bedrivits på sedvanligt sätt. Eftersom frågan om allmän tystnadsplikt i försäkringsverksamhet har övervägts tidigare har jag i stor utsträckning tagit del av, och också återgett, äldre uttalanden och synpunkter. Dessa har aktualitet även i dagsläget och ger en god bild av de frågeställningar som föreligger.
Jag har haft kontakter och sammanträden med företrädare för försäkringsföretag och banker, Svenska Bankföreningen, Finansinspektionen, Sveriges Försäkringsförbunds systerorganisationer i Danmark, Finland och Norge samt Finansdepartementet.
Promemorian innehåller dels förslag till ändringar i den finansiella sekretess som finns på bank- och värdepappersområdet i syfte att avlägsna omotiverade skillnader i befintlig lagstiftning, dels förslag till införande av en allmän sekretessregel i försäkringsföretag.
De nya reglerna bör kunna träda i kraft den 1 januari 2012.
2. Lagförslag
2.1. Förslag till lag om ändring i lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige
Härigenom föreskrivs i fråga om lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige
dels att 5 kap. 15 § ska ha följande lydelse,
dels att det i lagen ska införas tre nya paragrafer, 5 kap. 15 a–c §§ samt närmast före 5 kap. 15 a–c §§ nya rubriker, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 kap.
15 §1
Uppgift om genetisk undersökning eller genetisk information som avser en enskild person får inte obehörigen röjas.
Den som är eller har varit knuten till en försäkringsgivare från tredje land som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja vad han eller hon i anställ-
1 Senaste lydelse 2009:469. Ändringen innebär bl.a. att första stycket upphävs.
Lagförslag
ningen eller under uppdraget har fått veta om enskildas hälsotillstånd eller om andra förhållanden till försäkringsgivaren.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
Uppgiftsskyldighet
15 a §
En försäkringsgivare från tredje land är skyldig att lämna ut uppgifter om enskildas hälsotillstånd eller andra förhållanden till försäkringsgivaren, om det under en utredning enligt bestämmelserna om förundersökning i brottmål begärs av undersökningsledare eller om det i ett ärende om rättslig hjälp i brottmål på framställning av en annan stat eller en mellanfolklig domstol begärs av åklagare.
Meddelandeförbud
15 b §
Den undersökningsledare eller åklagare som begär uppgifter enligt 15 a § får förordna att försäkringsgivaren samt dess styrelseledamöter och anställda inte får röja för kunden eller för någon utomstående att uppgifter har lämnats
Ds 2011:7 Lagförslag
enligt 15 a § eller att det pågår en förundersökning eller ett ärende om rättslig hjälp i brottmål.
Ett sådant förbud får meddelas om det krävs för att en utredning om brott inte ska äventyras eller för att uppfylla en internationell överenskommelse som är bindande för Sverige.
Förbudet ska vara tidsbegränsat, med möjlighet till förlängning, och får inte avse lägre tid än vad som är motiverat med hänsyn till syftet med förbudet. I ett ärende om rättslig hjälp i brottmål får dock förbudet tidsbegränsas endast om den stat eller mellanfolkliga domstol som ansökt om rättslig hjälp samtycker till detta.
Om ett förbud inte längre är motiverat med hänsyn till syftet med förbudet, ska undersökningsledaren eller åklagaren besluta att förordnandet ska upphöra.
Lagförslag
Ansvarsbestämmelse
15 c §
Den som uppsåtligen eller av grov oaktsamhet bryter mot ett meddelandeförbud enligt 15 b § döms till böter.
Denna lag träder i kraft den 1 januari 2012.
Ds 2011:7 Lagförslag
2.2. Förslag till lag om ändring i lagen (1998:1479) om kontoföring av finansiella instrument
Härigenom föreskrivs att 8 kap. 2 § lagen om kontoföring av finansiella instrument ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 kap.
2 §
Den som är eller har varit anställd hos en central värdepappersförvarare eller hos ett kontoförande institut får inte obehörigen röja uppgifter som har registrerats i ett avstämningsregister eller som har lämnats till värdepappersförvararen eller institutet av en förvaltare.
Den som är eller har varit knuten till en central värdepappersförvarare eller hos ett kontoförande institut som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja uppgifter som har registrerats i ett avstämningsregister eller som har lämnats till värdepappersförvararen eller institutet av en förvaltare.
Denna lag träder i kraft den 1 januari 2012.
Lagförslag
2.3. Förslag till lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål
Härigenom föreskrivs att 5 kap. 10 § lagen (2000:562) om internationell rättslig hjälp i brottmål ska ha följande lydelse.
Lydelse enligt SFS 2010:2066 Föreslagen lydelse
5 kap.
10 §
Bestämmelser om uppgiftsskyldighet finns 9 kap. 12 § försäkringsrörelselagen (2010:2043), 8 kap. 2 a § lagen (1998:1479) om kontoföring av finansiella instrument, 4 kap. 5 § lagen (2002:149) om utgivning av elektroniska pengar, 2 kap. 20 § lagen (2004:46) om investeringsfonder, 1 kap. 11 § lagen (2004:297) om bank- och finansieringsrörelse, 6 kap. 8 § lagen (2006:531) om särskild tillsyn över finansiella konglomerat, 10 kap. 18 § lagen om kapitaltäckning och stora exponeringar och 1 kap. 12 § lagen (2007:528) om värdepappersmarknaden.
Bestämmelser om uppgiftsskyldighet finns 4 kap. 15 § och 9 kap. 12 § försäkringsrörelselagen (2010:2043), 5 kap. 15 a § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige,8 kap. 2 a § lagen (1998:1479) om kontoföring av finansiella instrument, 4 kap. 5 § lagen (2002:149) om utgivning av elektroniska pengar, 2 kap. 20 § lagen (2004:46) om investeringsfonder, 1 kap. 11 § lagen (2004:297) om bank- och finansieringsrörelse, 6 kap. 8 § lagen (2006:531) om särskild tillsyn över finansiella konglomerat, 10 kap. 18 § lagen om kapitaltäckning och stora exponeringar och 1 kap. 12 § lagen (2007:528) om värdepappersmarknaden.
Ds 2011:7 Lagförslag
I de lagar som anges i första stycket finns även bestämmelser om meddelandeförbud och ansvarsbestämmelser för den som bryter mot ett sådant förbud.
Denna lag träder i kraft den 1 januari 2012.
Lagförslag
2.4. Förslag till lag om ändring i lagen (2002:149) om utgivning av elektroniska pengar
Härigenom föreskrivs att 3 kap. 4 § lagen om utgivning av elektroniska pengar ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse 1
4 kap.
4 §2
Enskildas förhållanden till ett institut för elektroniska pengar får inte obehörigen röjas.
Ansvar enligt 20 kap. 3 § brottsbalken skall inte följa för den som bryter mot förbudet i första stycket.
Den som är eller har varit knuten till ett institut för elektroniska pengar eller en registrerad utgivare som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja vad han eller hon i anställningen eller under uppdraget i verksamheten med utgivning av elektroniska pengar eller betaltjänster har fått veta om enskildas förhållanden till institutet eller utgivaren.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400) .
I 6 kap. 9 § lagen ( 2010:751 ) om betaltjänster finns särskilda bestämmelser om tystnadsplikt vid behandling av person-
1 Jfr. den lagrådsremiss om Genomförande av det nya e-penningdirektivet som för närvarande gemensambereds i Regeringskansliet. 2 Ändringen innebär bl.a. att andra stycket upphävs.
Ds 2011:7 Lagförslag
uppgifter i register som förs av en betaltjänstleverantör eller av den som ansvarar för ett betalningssystem enligt 6 kap. 1 § lagen ( 2010:751 ) om betaltjänster.
I 5 a § kreditupplysningslagen (1973:1173) finns bestämmelser om att det som gäller om tystnadsplikt enligt första stycket inte hindrar att uppgifter i vissa fall utväxlas för kreditupplysningsändamål.
Denna lag träder i kraft den 1 januari 2012.
Lagförslag
2.5. Förslag till lag om ändring i lagen (2004:46) om investeringsfonder
Härigenom föreskrivs att 2 kap. 19 § lagen om investeringsfonder ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap
19 §1
Enskildas förhållanden till en investeringsfond, ett fondbolag eller ett förvaringsinstitut får inte obehörigen röjas.
Den som är eller har varit knuten till en investeringsfond, ett fondbolag eller ett förvaringsinstitut som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja vad han eller hon i anställningen eller under uppdraget har fått veta om enskildas förhållanden till investeringsfonden, fondbolaget eller förvaringsinstitutet.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
Denna lag träder i kraft den 1 januari 2012.
1 Senaste lydelse 2009:499.
Ds 2011:7 Lagförslag
2.6. Förslag till lag om ändring i lagen (2004:297) om bank- och finansieringsrörelse
Härigenom föreskrivs att 1 kap. 10 § lagen om bank- och finansieringsrörelse ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
10 §1
Enskildas förhållanden till kreditinstitut får inte obehörigen röjas.
Den som är eller har varit knuten till ett kreditinstitut som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja vad han eller hon i anställningen eller under uppdraget har fått veta om enskildas förhållanden till kreditinstitutet.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
Ansvar enligt 20 kap. 3 § brottsbalken ska inte följa för den som bryter mot förbudet i första stycket.
I 5 a § kreditupplysningslagen (1973:1173) finns bestämmelser som innebär att vad som gäller om tystnadsplikt enligt första stycket inte hindrar att uppgifter i vissa fall utväxlas för kreditupplysningsändamål.
Denna lag träder i kraft den 1 januari 2012.
1 Senaste lydelse 2009:504. Ändringen innebär bl.a. att tredje stycket upphävs.
Lagförslag
2.7. Förslag till lag om ändring i lagen (2007:528) om värdepappersmarknaden
Härigenom föreskrivs att 1 kap. 11 § lagen om värdepappersmarknaden ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
11 §1
Den som är eller har varit knuten till ett värdepappersbolag, en börs eller en clearingorganisation som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja vad han eller hon i anställningen eller under uppdraget har fått veta om någon annans affärsförhållanden eller personliga förhållanden.
Den som är eller har varit knuten till ett värdepappersbolag, en börs eller en clearingorganisation som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja vad han eller hon i anställningen eller under uppdraget har fått veta om enskildas förhållanden till värdepappersbolaget, börsen eller clearingorganisationen.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
I 5 a § kreditupplysningslagen (1993:1173) finns bestämmelser som innebär att det som gäller om tystnadsplikt enligt första stycket inte hindrar att uppgifter i vissa fall utväxlas för kreditupplysningsändamål.
Denna lag träder i kraft den 1 januari 2012.
1 Senaste lydelse 2009:522.
Ds 2011:7 Lagförslag
2.8. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härmed föreskrivs att 44 kap. 5 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Lydelse enligt SFS 2010:2076 Föreslagen lydelse
44 kap.
5 §
Rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer av
1. förordnande med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,
2. 7 kap. 1 § 1 lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,
3. 4 kap. 16 § försäkringsrörelselagen (2010:2043),
4. 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige, och
3. 4 kap. 14 § försäkringsrörelselagen (2010:2043)avseende enskildas hälsotillstånd,
4. 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige avseende enskildas hälsotillstånd, och
5. 21 § lagen (1996:1156) om receptregister.
Denna lag träder i kraft den 1 januari 2012.
Lagförslag
2.9. Förslag till lag om ändring i lagen (2010:751) om betaltjänster
Härigenom föreskrivs att 3 kap. 12 § lagen om betaltjänster ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 kap.
12 §1
Den som är eller har varit knuten till ett betalningsinstitut eller en registrerad betaltjänstleverantör som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja vad han eller hon i anställningen eller under uppdraget i verksamheten med betaltjänster har fått veta om enskildas förhållanden till institutet eller leverantören.
Ansvar enligt 20 kap. 3 § brottsbalken ska inte följa för den som bryter mot förbudet.
Den som är eller har varit knuten till ett betalningsinstitut eller en registrerad betaltjänstleverantör som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja vad han eller hon i anställningen eller under uppdraget i verksamheten med betaltjänster har fått veta om enskildas förhållanden till institutet eller leverantören.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
I 6 kap. 9 § finns särskilda bestämmelser om tystnadsplikt vid behandling av personuppgifter i register som förs av en betaltjänstleverantör eller den som ansvarar för ett betalningssystem enligt 6 kap. 1 §.
1 Ändringen innebär att andra stycket upphävs.
Ds 2011:7 Lagförslag
I 5 a § kreditupplysningslagen (1973:1173) finns bestämmelser om att det som gäller om tystnadsplikt enligt första stycket inte hindrar att uppgifter i vissa fall utväxlas för kreditupplysningsändamål.
Denna lag träder i kraft den 1 januari 2012.
Lagförslag
2.10. Förslag till lag om ändring i försäkringsrörelselagen (2011:000)
Härigenom föreskrivs att i fråga om försäkringsrörelselagen (2010:2043)
dels att 4 kap. 14–16 §§ ska upphöra att gälla, dels att rubriken närmast före 4 kap. 14 § ska utgå,
dels att 4 kap. 14–16 §§ ska ha följande lydelse,
dels att det i lagen ska införas en ny paragraf, 4 kap. 16 a § samt före 4 kap. 14–16 a §§, nya rubriker av följande lydelse.
Lydelse enligt SFS 2010:2043 Föreslagen lydelse
Tystnadsplikt
4 kap.
14 §
En personuppgift som anger att en försäkringstagare har vidtagit dispositioner beträffande försäkringsbelopp som utfaller i framtiden till förmån för någon annan och som behandlas enligt personuppgiftslagen (1998:204) får inte lämnas ut till förmånstagaren.
Den som är eller har varit knuten till ett försäkringsföretag som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja vad han eller hon i anställningen eller under uppdraget har fått veta om enskildas hälsotillstånd eller om andra förhållanden till försäkringsföretaget.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400) .
Ds 2011:7 Lagförslag
Uppgiftsskyldighet
15 §
Ett försäkringsföretag är skyldigt att lämna ut uppgifter om enskildas hälsotillstånd eller andra förhållanden till försäkringsföretaget, om det under en utredning enligt bestämmelserna om förundersökning i brottmål begärs av undersökningsledare eller om det i ett ärende om rättslig hjälp i brottmål på framställning av en annan stat eller en mellanfolklig domstol begärs av åklagare.
Meddelandeförbud
16 §
Den undersökningsledare eller åklagare som begär uppgifter enligt 15 § får förordna att försäkringsföretaget samt dess styrelseledamöter och anställda inte får röja för kunden eller för någon utomstående att uppgifter har lämnats enligt 15 § eller att det pågår en förundersökning eller ett ärende om rättslig hjälp i brottmål.
Ett sådant förbud får meddelas om det krävs för att en utredning om brott inte ska äventyras eller för att uppfylla
Lagförslag
en internationell överenskommelse som är bindande för Sverige.
Förbudet ska vara tidsbegränsat, med möjlighet till förlängning, och får inte avse lägre tid än vad som är motiverat med hänsyn till syftet med förbudet. I ett ärende om rättslig hjälp i brottmål får dock förbudet tidsbegränsas endast om den stat eller mellanfolkliga domstol som ansökt om rättslig hjälp samtycker till detta.
Om ett förbud inte längre är motiverat med hänsyn till syftet med förbudet, ska undersökningsledaren eller åklagaren besluta att förordnandet ska upphöra.
Ansvarsbestämmelse
16 a §
Den som uppsåtligen eller av grov oaktsamhet bryter mot ett meddelandeförbud enligt 16 § döms till böter.
Denna lag träder i kraft den 1 januari 2012.
3. Bakgrund
3.1. Bakgrund till banksekretess
Enligt Peter Westerlind, Banklagen av den 31 mars 1955 med kommentar, har ”[g]rundsatsen, att sekretess skall iakttagas kring bankbolagens förbindelser med sina kunder …” respekterats alltifrån affärsbankväsendets uppkomst. Lagfäst blev principen genom 1874 års kungörelse angående enskilda banker med rätt att utgiva egna banksedlar, vari stadgades att ’enskildes förhållanden till banken må ej för allmänheten yppas’. I samma avfattning upptogs sekretessregeln i 1903 års banklagar.9
I 1911 års lag om bankrörelse var sekretessregeln formulerad enligt följande: ”Enskildes förhållanden till bankbolag må ej i oträngdt mål yppas”. Skälet för denna ändring var att regeln inte skulle hindra att en styrelseledamot eller tjänsteman i en bank lämnade vittnesmål om en kunds relation till banken eller lämnade sådan information till kronofogdemyndigheten eller till åklagare och domstol i brottmål. Syftet var även att banksekretessen inte skulle användas för att underlätta för en gäldenär att undandra egendom från borgenärerna. Det som blev förbjudet var enligt lagrådet ”yppande i oträngdt mål av enskildes förhållanden till bank, vilket förbud då komme att omfatta icke allenast meddelanden, som nådde en större allmänhet, utan varje upplysning till obehörig person ”.
9 Se Westerlind s. 518.
Bakgrund
Sin nuvarande utformning fick sekretessregeln 1981. Någon ändring i sak var inte avsedd.10 Därefter upptogs regeln i 1987 års bankrörelselag. Förarbetena innehåller inte några principiella uttalanden om vilka skyddsintressen som ligger bakom regeln.
I Banklagskommitténs betänkande Vårdslös kreditgivning samt sekretess i banker m.m. (SOU 1999:82) lade kommittén fram ett förslag till ändring av regeln om banksekretess. Den tidigare obehörighetsregeln föreslogs ändras till en behörighetsregel för att markera att det är banken som har bevisbördan för att det är behörigt att lämna uppgift om en kund. Vidare föreslogs formuleringen ”enskildas förhållanden till bank” ersättas med ”uppgift om banks kunder” i överensstämmelse med den tolkning som gjorts i doktrinen. Flera remissinstanser avstyrkte ändringsförslagen och menade att de skäl som anfördes för ändringarna inte var tillräckligt övertygande och motiverande. De ansåg också att ändringar utan syfte att ändra rättstillämpningen kunde befaras leda till tolkningsproblem och osäkerhet om huruvida den praxis som hittills utvecklats var avsedd att ändras i något avseende. Regeringen ansåg i propositionen 2002/03:139 Reformerade regler för bank- och finansieringsrörelse att remisskritiken inte kunde lämnas utan avseende. Regeringen ansåg vidare att sekretessfrågorna i finansiell verksamhet borde behandlas samlat mot bakgrund av den finansiella sektorns utveckling som inneburit att gränslinjen mellan olika slag av finansiella verksamheter inte var lika tydlig som tidigare. Direkt konkurrerande verksamheter kan drivas av olika slag av institut och olika verksamheter kan ingå i koncerner och andra företagsgrupper. Det kan gälla bankrörelse, värdepappersrörelse, fondbolagsrörelse, försäkringsrörelse m.m. Enligt regeringen har kunden ett befogat intresse av att få samma sekretesskydd oavsett den administrativa ramen för rörelsen. Banklagskommitténs förslag avseende frågan om banksekretess ledde således inte till någon lagstiftning.11
10 Prop. 1979/80 s. 45. 11Prop. 2002/03:139 s. 483–484.
Bakgrund
I samband med införandet av de nuvarande reglerna avseende värdepappersbolag, börser och clearingorganisationer anförde regeringen att frågan om en ändring av reglerna för brott mot tystnadsplikt i bl.a. banker borde övervägas i samband med en översyn av sekretesslagstiftningen för de finansiella företagen, och att några ändringar av regleringen av värdepappersbolag, börser och clearingorganisationer inte gjordes i avvaktan på denna översyn (prop. 2006/07:115 s. 556). Regeringen hänvisade till detta uttalande i samband med införandet av lagen (2010:751) om betaltjänster och konstaterade att det inte inom ramen för det lagstiftningsärendet fanns utrymme att närmare analysera frågan (prop. 2009/10:220 s. 146).
3.2. Tystnadsplikt i annan finansiell verksamhet än bankverksamhet
I svensk rätt är såsom tidigare nämnts begreppet sekretess främst knutet till reglerna om allmänna handlingars offentlighet i tryckfrihetsförordningen. Regleringen om handlingsoffentlighet saknar motsvarighet på det privata området. Föreskrifter om tystnadsplikt för enskilda får enligt 2 kap. 12 § regeringsformen meddelas enbart i lag. Sådana bestämmelser om tystnadsplikt finns inom flera olika verksamhetsområden.
Vid en genomgång av de lagar som reglerar olika former av finansiell verksamhet kan konstateras att det finns tre olika modeller att behandla sekretessförhållanden.
I vissa lagar förekommer överhuvudtaget inga sekretessbestämmelser alternativt att endast speciella sekretessförhållanden är reglerade. Detta gäller t.ex. i försäkringsrörelselagen (2010:2043) rörande försäkringstagares dispositioner beträffande i framtiden utfallande försäkringsbelopp till förmån för annan samt uppgifter i fråga om genetiska undersökningar eller genetisk information (se vidare härom i avsnitt 4).
Vanligt förekommande är en reglering som överensstämmer med bestämmelsen om banksekretess i lagen om bank- och
Bakgrund
finansieringsrörelse. Så är fallet t.ex. i Sparbankslagen (1987:619), i vilken det hänvisas till lagen om bank- och finansieringsrörelse. Vidare har lagen (2002:149) om utgivning av elektroniska pengar samt lagen (2004:46) om investeringsfonder en sekretessreglering som överensstämmer med banksekretessen i lagen om bank- och finansieringsrörelse.12 Däremot skiljer sig sekretessen i fondrörelsen från banksekretessen så till vida att brott mot sekretessen kan vara straffbart enligt brottsbalken.
Den tredje formen för reglering av sekretess återfinns i 1 kap. 11 § lagen (2007:528) om värdepappersmarknaden, kreditupplysningslagen (1973:1173) och inkassolagen (1974:182), 3 kap. 12 § lagen om betaltjänster samt 8 kap. 2 § lagen (1998:1479) om kontoföring av finansiella instrument. Förpliktelsen att inte röja uppgifter läggs på den som är eller har varit knuten till ett institut som anställd eller uppdragstagare. De skyddade subjekten beskrivs även annorlunda genom att skyddet exempelvis avser ”någon annans affärsförhållanden eller personliga förhållanden” medan banksekretessen talar om ”enskildas förhållanden”.
3.3. Tystnadsplikt i försäkringsverksamhet
3.3.1. Specifik reglering av tystnadsplikt i försäkringsföretag
På försäkringsområdet finns det inte någon regel om allmän tystnadsplikt till skillnad från vad som länge gällt på bankområdet. Det finns däremot specialbestämmelser om tystnadsplikt i försäkringsrörelselagen. Enligt 4 kap. 14 § får en personuppgift som anger att en försäkringstagare har vidtagit dispositioner beträffande försäkringsbelopp som utfaller i framtiden till förmån för någon annan och som behandlas enligt
12 I Ds 2010:27 föreslås emellertid att bestämmelsen om tystnadsplikt får samma utformning som i lagen om betaltjänster.
Bakgrund
personuppgiftslagen (1998:204) inte lämnas ut till förmånstagaren. Enligt 4 kap. 16 § får uppgift om genetisk undersökning eller genetisk information som avser en enskild person inte obehörigen röjas.
Försäkringsföretagen har tidigare tillämpat en självpåtagen tystnadsplikt med interna skriftliga regler om sekretess och arkivering. Vissa företag har frivilligt åtagit sig att följa regleringen om banksekretess. Övriga företag har motsvarande interna regler. Företagen ställer som krav att samtliga anställda, såväl fast som tillfällig personal och konsulter ska underteckna en sekretessförbindelse.
Försäkringsförbundet har numera utfärdat en Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen (se vidare härom i avsnitt 4.7.4).
3.3.2. Frågans tidigare behandling
Frågan om tystnadsplikten inom det enskilda försäkringsväsendet bör författningsregleras har debatterats i olika sammanhang. Förslag till sådan reglering har bl.a. lämnats av Försäkringsverksamhetskommittén och Kommittén om genetisk integritet.
Försäkringsverksamhetskommitténs förslag
Försäkringsverksamhetskommittén föreslog i betänkandet
Försäkringsväsendet i framtiden (SOU 1987:58) en bestämmelse om försäkringssekretess (dvs. tystnadsplikt) i försäkringsrörelselagen.
Kommittén angav bl.a. följande skäl för en sekretessbestämmelse.13 Om lagstiftaren uttryckligen skulle slå fast en allmän sekretess inom det enskilda försäkringsväsendet, skulle detta enligt kommittén klargöra för allmänheten och
Bakgrund
försäkringskunderna att försäkringsföretagen, liksom bankerna, har en tystnadsplikt. Förtroendet för det enskilda försäkringsväsendet skulle härigenom kunna stärkas och diskussioner om själva förekomsten och omfattningen av den s.k. oreglerade försäkringssekretessen skulle kunna upphöra.
Kommittén anförde vidare att en lagfäst sekretess på försäkringsområdet skulle kunna underlätta arbetet för tjänstemännen i bolagen inte bara genom att förtroendet för försäkringsväsendet skulle stärkas utan också genom att det skulle bli lättare att neka att besvara förfrågningar från obehöriga, enskilda eller myndigheter. Försäkringsföretagens verksamhet skulle också kunna underlättas genom att praxis beträffande försäkringsföretags rätt att lämna ut uppgifter kunde komma att bli klarare om försäkringssekretessen lagfästes, bl.a. genom ingripanden från Försäkringsinspektionen (numera Finansinspektionen) i konkreta fall, genom uttalanden från inspektionens sida och genom en analog tillämpning av banksekretessen.
Om försäkringssekretessen skulle lagfästas skulle enligt kommittén större likformighet med sekretessförhållandena inom andra områden uppnås, där sekretessen redan är lagfäst. Detta gäller t.ex. bankområdet där bl.a. införskaffandet av känsliga uppgifter om kunderna och affärsförhållandets varaktighet har lett till att banksekretessen sedan länge varit fastslagen i banklagstiftningen. I dessa avseenden företer bank- och försäkringsverksamhet stora likheter.
Enligt kommittén skulle ett lagfästande av försäkringssekretessen slutligen medföra att sanktionerna för brott mot tystnadsplikten inte kom att enbart avse skadeståndsskyldighet. Inspektionen skulle nämligen om försäkringssekretessen var lagfäst, kunna ingripa i konkreta fall mot bolag som inte iakttog tystnadsplikten. Kommittén tillade att det också skulle bli helt klarlagt att sanktioner för brott mot tystnadsplikten kunde komma i fråga även om det begåtts av tjänstemän sedan de slutat sin anställning.
Bakgrund
Försäkringsverksamhetskommitténs förslag ledde inte till någon lagstiftning.
Förslag av Kommittén om genetisk integritet
Kommittén om genetisk integritet framhöll i sitt betänkande
Genetik, integritet och etik (SOU 2004:20) att det inte finns någon regel om sekretess på försäkringsområdet till skillnad från vad som länge gällt på bankområdet.
Enligt kommittén var detta
anmärkningsvärt eftersom försäkringsföretagen hanterar synnerligen integritetskänslig information. Kommittén gjorde samma bedömning som Försäkringsverksamhetskommittén och lyfte särskilt fram den betydelse en lagfäst sekretessbestämmelse skulle ha för allmänhetens förtroende för försäkringsföretagen.14
Kommittén om genetisk integritet föreslog, liksom Försäkringsverksamhetskommittén, att det skulle införas en sekretessbestämmelse i försäkringsrörelselagen som innebar att enskildas förhållanden till försäkringsföretag inte obehörigen fick röjas. I det allmännas verksamhet skulle istället bestämmelserna i sekretesslagen tillämpas.
Enligt förslaget skulle nuvarande specialreglering i 7 kap. 20 § om förbud att lämna ut personuppgifter rörande förmånstagareförordnanden o.d. som behandlats enligt personuppgiftslagen utgå, liksom föreskriften om straffansvar för brott mot detta förbud.
Kommittén konstaterade vidare att ett försäkringsföretag som bryter mot försäkringssekretessen kan förpliktigas att utge skadestånd samt att Finansinspektionen bör kunna ingripa i ett sådant fall med stöd av 19 kap. 11 § försäkringsrörelselagen (nuvarande 16 kap. 1 §). Kommittén ansåg dock inte att brott mot försäkringssekretessen skulle vara straffbart. Försäkringsrörelselagen skulle därför kompletteras med en erinran om att
14SOU 2004:20 s. 208f och 367f.
Bakgrund
försäkringssekretessen inte medför ansvar enligt 20 kap. 3 § brottsbalken.15
Utredningen om Försäkringsbolags tillgång till patientjournaler anslöt sig till det författningsförslag som Kommittén om genetisk integritet hade lagt fram.16
Regeringen föreslog i propositionen 2005/06:64 Genetisk integritet m.m. bl.a. en generell sekretessbestämmelse med innebörd att enskildas förhållanden till försäkringsföretagen inte obehörigen skulle få röjas. På lagrådets inrådan föreslogs att bestämmelsen skulle vara straffsanktionerad.17 Riksdagen avslog dock propositionen i denna del med motiveringen att konsekvenserna av en sådan generell utformning inte hade belysts tillräckligt i propositionen. Riksdagen förutsatte att regeringen skulle återkomma till riksdagen med ett förslag till reglering av sekretess på försäkringsområdet, i vart fall när det gällde genetisk undersökning och information.18
Regeringen föreslog därefter i propositionen 2006/07:41
Sekretess i försäkringsföretag för uppgift om genetisk undersökning och genetisk information den nu gällande bestämmelsen i 4 kap. 16 § försäkringsrörelselagen och 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige.
I propositionen uttalade regeringen att utformningen av en generell bestämmelse om sekretess, som omfattar hela försäkringsområdet, borde övervägas ytterligare. En sådan översyn kunde enligt regeringen lämpligen ske i samband med en tidigare aviserad översyn av sekretesskyddet i övrig finansiell verksamhet.19
15 Jfr kommitténs förslag till lag om ändring i 7 kap. 20 § och 21 kap. 1 §försäkringsrörelselagen (SOU 2004:20 s. 51–52). 16Ds 2005:13 s. 186–190. 17Prop. 2005/06:64 s. 168– 171. 18 Bet. 2005/06:SoU16 s. 23, rskr. 2005/06:219. 19Prop. 2006/07:41 s. 10 och 12.
Bakgrund
Pågående utredningar och lagstiftningsarbeten m.m.
Trafikförsäkringsutredningen, som lämnade sitt betänkande den 11 januari 2010, gjorde bedömningen att även om försäkringsföretagen utan direkt stöd av lag iakttar en strikt tystnadsplikt finns det behov av en lagreglerad tystnadsplikt inom området, inte minst för att stilla eventuell oro hos de enskilda. Utredningen konstaterade emellertid att behovet av en sådan tystnadsplikt fanns oberoende av utredningens förslag och att frågan inte heller låg inom ramen för utredningens uppdrag.20
I regeringens proposition 2009/10:241 Ett förstärkt integritetsskydd i försäkringssammanhang påtalade regeringen att det finns skäl för att anställda i försäkringsföretag bör omfattas av en lagreglerad tystnadsplikt. Mot bakgrund av att det saknades tillräckligt beredningsunderlag var regeringens bedömning att den inte var beredd att lägga fram ett lagförslag om en generell tystnadsplikt på försäkringsområdet. Regeringen ansåg dock att frågan var angelägen och avsåg därför att närmare analysera förutsättningarna och formerna för en författningsreglerad tystnadsplikt för anställda i försäkringsföretag.21
3.4. En ny försäkringsrörelselag
I propositionen 2009/10:246 En ny försäkringsrörelselag lämnas förslag till en ny försäkringsrörelselag. Den nuvarande försäkringsrörelselagen (1982:713) och lagen (1972:262) om understödsföreningar föreslås bli upphävda. Propositionen antogs av riksdagen den 8 december 2010 och den nya lagen (SFS 2010:2043)träder ikraft den 1 april 2011.
Den nya lagen innebär en språklig och redaktionell modernisering av rörelsereglerna för försäkringsaktiebolag, ömsesidiga försäkringsbolag och försäkringsföreningar (tidigare kallade understödsföreningar). Enligt förslaget ska de
20SOU 2009:96 s. 395. 21Prop. 2009/10:241 s. 43.
Bakgrund
rörelseregler som gäller för försäkringsbolag i stort gälla även för försäkringsföreningarna.
Vidare föreslås en anpassning till allmän associationsrättslig lagstiftning, om inte avvikelser motiveras av försäkringsföretagens särart. Vid sidan av rörelsereglerna innehåller den nya lagen således de särskilda associationsrättsliga lagregler som är erforderliga för försäkringsaktiebolag, ömsesidiga försäkringsbolag och försäkringsföreningar utöver eller istället för allmän reglering på associationsrättens område.
Ömsesidiga försäkringsbolag ska fortsatt utgöra en särskild associationsform. Till skillnad mot i dag, ska dock allmänna associationsrättsliga regler inte uttryckas som självständiga bestämmelser i den nya lagen. I denna införs istället hänvisningar till lagen (1987:667) om ekonomiska föreningar, när så är motiverat.
Motsvarande moderna associationsrättsliga regler som för försäkringsbolag, blir även tillämpliga på försäkringsföreningar. Försäkringsföreningarnas särart föranleder att dessa fortsatt ska utgöra en särskild form av förening. Den nya lagen innehåller således särregler i fråga om bl.a. vad en försäkringsförening är, föreningens ledning, föreningsstämma samt överskottsutdelning och annan användning av föreningens egendom. I övrigt gäller bestämmelserna i lagen om ekonomiska föreningar om annat inte särskilt föreskrivs i den nya lagen.
Propositionen innehåller dock inte något förslag till införande av en generell sekretessbestämmelse på försäkringsområdet. Befintlig sekretessreglering överförs i oförändrat skick till 4 kap. 14–16 §§. Regler om tystnadsplikt, uppgiftsskyldighet och meddelandeförbud beträffande försäkringsgrupper överförs till 9 kap. 11–13 §§. Någon ändring i befintliga sekretessregler föreslås således inte. Däremot konstaterar regeringen att analys och ställningstagande till huruvida en generell sekretessbestämmelse ska införas på försäkringsområdet bör göras i särskild ordning.
Den nya lagen föreslås träda i kraft den 1 april 2011.
4. Gällande rätt
4.1. Offentlighet och sekretess
I ett demokratiskt samhälle är det av grundläggande betydelse att allmänheten och massmedia har möjlighet till insyn i statens och kommunernas verksamhet. För att möjliggöra en sådan insyn är svensk rättskipning och förvaltning sedan lång tid underkastade en offentlighetsprincip. Principen innebär att verksamheten ska ske i öppna former och under allmänhetens insyn. Offentlighetsprincipen har fått sin fastaste utformning när det gäller information som finns nedskriven eller på annat sätt är dokumenterad hos myndigheterna.
Alla svenska och utländska medborgare har enligt tryckfrihetsförordningen rätt att ta del av allmänna handlingar. Begränsningar i den rätten ska noga anges i särskild lag eller i en annan särskild lag vartill den särskilda lagen hänvisar.22
Offentlighetsprincipen är dock inte obegränsad. Mot intresset av insyn står andra viktiga intressen såsom exempelvis enskildas rätt till personlig integritet. I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Med sekretess menas enligt offentlighets- och sekretesslagen ett förbud att röja en uppgift vare sig det sker muntligen, genom att en allmän handling lämnas ut eller på något annat sätt (3 kap. 1 §). Sekretess innebär således både
22 Se 2 kap.1 och 2 §§ och 14 kap. 5 §tryckfrihetsförordningen.
Gällande rätt
handlingssekretess och tystnadsplikt. En uppgift för vilken sekretess gäller får inte röjas för enskilda eller för andra myndigheter, om det inte anges i lag eller förordning som offentlighets- och sekretesslagen hänvisar till (1 kap. 8 §).
Sekretess till skydd för enskild gäller som regel inte för den enskilde själv (12 kap. 1 §). Sekretess till skydd för enskild hindrar inte heller att en uppgift lämnas till en annan enskild eller till en myndighet, om den enskilde samtycker till det (8 kap. 1 §). Enligt 12 kap. 2 § kan den enskilde helt eller delvis häva sekretess som gäller till skydd för honom eller henne. Detta möjliggör bruket av samtycken i försäkringssammanhang. Genom samtycket har den enskilde hävt sekretessen i förhållande till försäkringsföretaget. Samtycke kan ges i förväg. Det är alltså möjligt att en försäkringstagare i samband med att ett försäkringsavtal ingås samtycker till att försäkringsföretaget får del av hälsouppgifter vid en eventuell framtida skadereglering (jfr dock prop. 1979/80:2, Del A, s. 331 där det anges att det får ankomma på t.ex. Försäkringsinspektionen, nuvarande Finansinspektionen, att bevaka att försäkringsvillkor av detta slag inte överskrider vad som kan godtas). Ett sådant samtycke kan alltid återkallas av den enskilde.
Det bör härvid noteras att den 1 juli 2011 träder nya regler i kraft i försäkringsavtalslagen (2005:104) som bl.a. innebär att ett försäkringsbolag vid en ansökan om individuell personförsäkring endast får begära samtycke om det är nödvändigt för prövningen av ansökan. Vid skadereglering och vid anslutning till kollektiva försäkringar ska samtycke få begäras först när det har uppkommit ett behov i det enskilda fallet.23
Gäller förbud enligt offentlighets- och sekretesslagen att röja en uppgift, får uppgiften inte heller i övrigt utnyttjas utanför den verksamhet för vilken den är sekretessreglerad (7 kap. 1 §).
Brott mot tystnadsplikten regleras i 20 kap. 3 § brottsbalken. Även ett olovligt utnyttjande utan att något röjande äger rum är
Ds 2011:7 Gällande rätt
förbjudet. Påföljden är böter eller fängelse i högst ett år. Om gärningen begås av oaktsamhet är påföljden böter.
4.2. Sekretess inom den offentliga hälso- och sjukvården
4.2.1. Offentlighets- och sekretesslagen
Sekretess inom den offentliga hälso- och sjukvården regleras i 25 kap. offentlighets- och sekretesslagen. Enligt 25 kap. 1 § gäller sekretess inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Personliga förhållanden kan avse vitt skilda förhållanden, från hälsotillstånd och liknande till en persons adress. Även uppgifter om någons personliga ekonomi faller in under detta begrepp.
Uttrycket men har en mycket vid innebörd och i första hand åsyftas sådana skador som att någon blir utsatt för andras missaktning om hans personliga förhållanden blir kända. Redan den omständigheten att vissa personer känner till en för någon enskild ömtålig uppgift kan vara tillräckligt för att medföra men. Utgångspunkten vid prövningen av om men föreligger måste således vara den berörda personens egen upplevelse. Bedömningen måste givetvis kunna ändras på grundval av gängse värderingar i samhället. Enbart det förhållandet att en person tycker att det i största allmänhet är obehagligt att andra vet var han eller hon bor kan t.ex. inte anses innebära men i här avsedd bemärkelse.24
Det är fråga om ett s.k. omvänt skaderekvisit vilket innebär att presumtion råder för att sekretess gäller för uppgiften, men att uppgiften kan lämnas ut om det står klart att uppgiften kan röjas utan att det aktuella sekretessintresset skadas. Denna
24Prop. 1979/80:2 Del A s. 83.
Gällande rätt
konstruktion innebär att den som ska avgöra om uppgiften kan lämnas ut har ett ganska begränsat utrymme för sin bedömning. Detta innebär i praktiken att tillämparen många gånger inte kan lämna ut en uppgift som omfattas av sekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen utan att ha kännedom om mottagarens identitet och om dennes avsikter med uppgifterna.25
Uppgifter om en enskilds hälsotillstånd finns inte bara inom hälso- och sjukvården. Sådana uppgifter kan förekomma hos ett stort antal myndigheter. I 21 kap. 1 § offentlighets- och sekretesslagen finns en allmän sekretessbestämmelse till skydd för hälsouppgifter. Bestämmelsen ger ett minimiskydd för hälsouppgifter som förekommer i allmän verksamhet och gäller, med några få undantag, oavsett verksamhetstyp.
Det finns också särskilda sekretessregler för Försäkringskassan och den kommunala socialtjänsten (28 kap. 1 § respektive 26 kap. 1 §). För Försäkringskassans del finns även en regel av intresse i 110 kap. 39 § socialförsäkringsbalken. I den anges att Försäkringskassan utan hinder av sekretess får lämna ut uppgifter om ersättningar åt enskilda som utbetalas enligt bl.a. lagstiftningen om allmän försäkring, under förutsättning att ett försäkringsföretag behöver uppgiften för samordning med ersättning därifrån.
4.2.2. Patientdatalagen
I patientdatalagen (2008:355) finns grundläggande bestämmelser om journalföring och personuppgiftsbehandling. Lagen ställer krav på journalernas utformning, innehåll och hantering. Den gäller både inom allmän och enskild hälso- och sjukvård, inklusive tandvård. I lagen finns en bestämmelse om inre sekretess hos en myndighet. Enligt 4 kap. 1 § får den som arbetar hos en vårdgivare ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten, eller
25Prop. 1979/80:2 Del A s. 82
Ds 2011:7 Gällande rätt
av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
4.3. Sekretess i enskild verksamhet
Allmänna handlingar finns i princip endast hos myndigheter. Offentlighets- och sekretesslagen omfattar således enbart den offentliga förvaltningen. Handlingar hos privata företag, exempelvis försäkringsföretag, har allmänheten ingen möjlighet att kräva ut. Uppgifter om enskildas hälsa som finns hos privata företag och organisationer m.m. omfattas således inte av offentlighets- och sekretesslagen. Trots att enskilda personer och företag inte är skyldiga att lämna ut uppgifter, om det inte finns en reglerad uppgiftsskyldighet, har det för vissa fall ändå ansetts angeläget att helt hindra ett uppgiftslämnande. Särskilda regler om tystnadsplikt har därför införts inom vissa områden, bl.a. inom den privata hälso- och sjukvården samt bank- och värdepappersområdet. En sådan reglerad tystnadsplikt blir också straffsanktionerad enligt 20 kap. 3 brottsbalken, om inte annat anges. Inom försäkringsområdet finns enstaka bestämmelser om tystnadsplikt i vissa särskilda situationer (se avsnitt 4.7.4).
Den reglering som finns av tystnadsplikt i finansiell verksamhet är inte enhetlig och det förekommer t.ex. finansiell sekretess som innebär att brott mot den inte är straffbart enligt brottsbalken, så är t.ex. fallet med banksekretessen där ett särskilt undantag är föreskrivet.
4.3.1. Enskild hälso- och sjukvård
Beträffande den enskilda hälso- och sjukvården finns bestämmelser om tystnadsplikt i lagen (2010:659) om yrkesverksamhet på hälso- och sjukvårdens område. I 6 kap. 12 § stadgas att den som tillhör eller har tillhört hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått
Gällande rätt
veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Obehörighetsrekvisitet har här samma innebörd som i offentlighets- och sekretesslagens bestämmelser.
4.3.2. Bankområdet
Bestämmelsen om banksekretess återfinns i 1 kap. 10 § lagen (2004:297) om bank- och finansieringsrörelse. Enligt paragrafens första stycke får enskildas förhållanden till kreditinstitut inte obehörigen röjas. Som framgår av avsnitt 3.2 har bestämmelsen, bortsett från några språkliga ändringar utan avsikt att förändra innebörden, haft samma sakliga utformning under mycket lång tid. Nedanstående redogörelse gör inte anspråk på att vara heltäckande. För en utförligare redovisning hänvisas till Per-Ola Jansson, Banksekretess och annan finansiell sekretess, utgiven av Svenska Bankföringen 2010 (cit. Jansson).
Vilka institut omfattas?
Enligt lagen om bank- och finansieringsrörelse är en bank ett slags kreditinstitut. Banksekretessen i 1 kap. 10 § gäller för samtliga verksamheter som omfattas av lagen om bank- och finansieringsrörelse. Bestämmelsen riktar sig gentemot banken som juridisk person. Tystnadsplikten gäller för styrelseledamöter, anställda men även för andra befattningshavare som fått kännedom om sekretessbelagda förhållanden, t.ex. revisorer.26
Ds 2011:7 Gällande rätt
De som sekretessen är avsedd att skydda
Sekretessregeln omfattar såväl handlingssekretess som tystnadsplikt. Alla uppgifter som rör en bankkunds mellanhavanden med banken, oavsett om de är dokumenterade eller inte, är alltså underkastade banksekretess. Sekretessen upphör inte i och med att någon upphört att vara kund i banken utan sekretessen består i fråga om kundens tidigare mellanhavanden med banken. Sekretessen skyddar endast förhållanden till dem som är bankens kunder inom området för bankens rörelse. Bankens rättsförhållanden till andra, såsom exempelvis anställda och hyresvärdar, omfattas inte av sekretessen.27 Kundbegreppet ska ges en så vid tolkning att exempelvis förhållanden rörande personer med vilka endast förhandlingar har förts ska omfattas av sekretessen.28
Sekretessen gäller för förhållanden avseende en i princip obegränsad förfluten tid såvitt avser såväl bestående kundförhållanden som kundförhållanden som har upphört. Obehörighetsrekvisitet möjliggör dock för banken att upplysa om förhållanden där intresset av sekretess inte längre har någon mening.29
Med ”enskilda” avses såväl fysiska som juridiska personer som i förhållande till banken anses som ”kund”.30 Även offentligrättsliga subjekt omfattas.
Tystnadsplikten gäller i regel endast bankens egna kunder och deras förhållanden till den egna banken.
I normalfallet gäller förstås inte tystnadsplikten i förhållande till kunden själv. Den gäller inte heller i förhållande till den som är behörig att företräda en juridisk person som är kund i banken eller den som är förmyndare, god man eller förvaltare enligt föräldrabalken, konkursförvaltare eller likvidator för en kund, delägare i ett dödsbo som är kund i banken eller bodelnings-
27Prop. 1986/87:12 s. 211–212. 28 Jansson s. 47. 29 Jansson s. 48. 30Prop. 2002/03:139 s. 477.
Gällande rätt
förrättare för en kund. Rätten att ta del av upplysningar är för dessa begränsad av uppdragets omfattning, eller beträffande konkursförvaltare, likvidator och dödsbodelägare, av vad som fordras för att de ska kunna fullgöra sina åligganden. Även make och registrerad partner anses i viss utsträckning ha rätt att ta del av uppgifter om den andre makens/partnerns förhållanden i banken. Ett sådant uppgiftslämnande anses således inte obehörigt.31
Varje uppgift som en bank kan ha om en kund i sekretesshänseende får prövas för sig. Den omständigheten att det anses behörigt att lämna ut vissa uppgifter om en kund betyder således inte att det skulle vara fritt fram att röja samtliga uppgifter om kunden.32
Tolkningen av vad som avses med ”förhållanden till kreditinstitut” ska liksom i fråga om ”enskild” vara den vidaste möjliga och begreppet omfattar upplysningar och uppgifter om en person som ett institut har eller har haft en kundrelation till.33
Förbud mot utnyttjande av en hemlig uppgift
Något klart förbud att utnyttja uppgifter om enskilda kunders förhållanden framgår inte explicit av bestämmelsen om banksekretess. Det får ändå anses klart att en bank inte får utnyttja sina kunskaper om en kund i strid med hans eller hennes intressen. Detta följer av bankens avtalsförhållande med kunden.34 Det kan dock noteras att förbudet att röja uppgifter i lagen om värdepappersmarknaden är sammanfört med förbudet att utnyttja uppgifter om enskildas förhållanden.
31 Prop. 2002/03 139 s. 478. 32Prop. 2002/02:139 s. 483. 33 Jansson s. 49f. 34 Jansson s. 59.
Ds 2011:7 Gällande rätt
Obehörighetsrekvisitet
Det kan inte sägas att banksekretessen är absolut eftersom inte varje utan endast obehörigt röjande av uppgift om kund är förbjudet. Tystnadsplikten har tre perspektiv. I vissa situationer innebär den en plikt att inte sprida uppgifter om kunder i institutet. Mot detta står plikten att i vissa fall bryta tystnadsplikten och lämna ut uppgifter om kunder. Därtill finns situationer när en bank inte är skyldig men har en rätt att göra avsteg från tystnadsplikten.35
Som exempel på situationer när ett uppgiftslämnande anses tillåtet är när det krävs för att institutet ska kunna fullgöra kundens uppdrag. Ett annat exempel är när kunden i ett särskilt fall uttryckligen eller underförstått lämnat samtycke till att institutet lämnar ut uppgifter om honom eller henne. Intern information inom banken som påkallas av bankens lojala intressen anses inte vara obehörigt röjande. Det kan vara frågan om uppgifter som lämnas från en anställd till bankledningen eller från ledningen till den anställde och att uppgifter sprids inom ledningen eller till revisorerna. Vidare anses inte det institut som lämnar ut upplysningar om en kund på grund av att institutet enligt lag är skyldig därtill handla obehörigt. Banken måste dock på eget ansvar göra en bedömning om uppgifterna som ska lämnas även när begäran kommer från en myndighet. Institutet kan också tvingas lämna ut uppgifter om sina kunder i samband med att vissa straffprocessuella tvångsmedel används, nämligen beslag och husrannsakan. Det kan också finnas situationer när uppgifter anses behörigen kunna lämnas till myndigheter utan att det finns en juridisk skyldighet att göra detta. Så kan vara fallet när banken lämnar uppgifter till en myndighet som har tillsyn över personer som är kunder i banken. Uppgiftsskyldighet i förhållande till andra än myndigheter kan också föreligga i förhållande till aktieägare på bolagsstämma, arbetstagarorganisationer eller kunders revisorer.36
35Prop. 2002/03:139 s. 478. 36Prop. 2002/03:139 s. 478–479.
Gällande rätt
Straffrättsligt ansvar
En hävdvunnen princip är att röjandet av en kunds förhållanden strider mot sekretessplikten oavsett om skadestånd eller annan sanktion kan följa på röjandet eller inte.37 Sekretess torde därför gälla oberoende av om en sanktion kan tillämpas vid brott mot den eller inte.
I 20 kap. 3 § brottsbalken finns en bestämmelse om brott mot tystnadsplikt och olovligt utnyttjande. Bestämmelsen är utformad så att den är direkt tillämplig på brott mot sekretessplikten. I 1 kap. 10 § tredje stycket lagen om bank- och finansieringsrörelse har dock förordnats om undantag från straffbarhet enligt bestämmelsen om tystnadsplikt i brottsbalken.
Anledningen till att banker sedan länge undantagits från ansvar enligt brottsbalken står att finna i 20 kap. 3 brottsbalken. Bestämmelsen om banksekretess fanns redan i 1955 års lag om bankrörelse och på den tiden gällde inte 20 kap. 3 § brottsbalken för andra än offentliga funktionärer. Genom lagen (1975:667) om ändring i brottsbalken vidgades tillämpningsområdet för 20 kap. 3 § till att omfatta envar som exempelvis röjer uppgift som denne är skyldig att hemlighålla enligt lag. I övergångsbestämmelser till den lagen stadgades att vad som sades i den nya bestämmelsen i 20 kap. 3 § inte skulle tillämpas i fråga om åsidosättande av sådan tystnadsplikt som vid ikraftträdandet av den nya bestämmelsen inte var straffsanktionerad. I lagen om bankrörelse togs sedermera in ett förtydligande av vad som redan följde av den nyss nämnda övergångsbestämmelsen (se prop. 1981/82:180 s. 337ff.).38
Brott mot tystnadsplikt i finansiell verksamhet skulle även kunna ses som trolöshet mot huvudman enligt 10 kap. 5 § brottsbalken. Den bestämmelsen bygger på att den som på grund av förtroendeställning med uppgift att sköta bl.a. annans ekonomiska angelägenheter missbrukar denna ställning. I
37 Jansson s. 82. 38Prop. 2006/07:41 s. 22.
Ds 2011:7 Gällande rätt
bestämmelsen talas bl.a. också om den som för annan sköter någon annans rättsliga angelägenheter. I något fall skulle kunna tänkas att den som är verksam i finansiell verksamhet har en sådan förtroendeställning som anges i bestämmelsen eller i något fall har till uppgift att sköta någon annans rättsliga angelägenheter.39
Skadeståndsskyldighet kan emellertid alltid göras gällande vid överträdelse av den finansiella sekretessen oavsett rörelseform. Detta förhållande bygger på att det finns ett avtalsförhållande mellan instituten och deras kunder som förutsätter förtroende och lojalitet.
Det krävs att det obehöriga utlämnandet av kunduppgifter har lett till en påvisbar skada för kunden för att skadestånd ska kunna utgå.
En anställds brott mot tystnadsplikten skulle vidare kunna föranleda arbetsrättsligt disciplinansvar. Saken får då hanteras inom den arbetsrättliga ordningen.40
Tillsyn
Enligt 13 kap. 2 § lagen om bank- och finansieringsrörelse har Finansinspektionen tillsyn över att de institut som omfattas av lagen bedriver sin verksamhet enligt lagen, andra författningar som reglerar institutets verksamhet, institutets bolagsordning, stadgar eller reglemente och interna instruktioner som har sin grund i författningar som reglerar institutets verksamhet. Det innebär alltså att tillsynen bl.a. omfattar kontroll av att instituten följer bestämmelsen om tystnadsplikt, liksom eventuella interna regler gällande sekretesshantering.
Finansinspektionen ska enligt 15 kap. 1 § lagen om bank- och finansieringsrörelse ingripa om ett institut inte bedriver sin verksamhet i enlighet med vad som föreskrivs enligt ovan. Stor del av det faktiska ansvaret för att sekretessregleringen åtföljs
39 Jansson s. 90–91. 40Prop. 1986/87:12 s. 212.
Gällande rätt
har institutets ledning genom att se till att interna instruktioner upprättas. Därigenom kan de anställda få ledning när det gäller att bedöma sekretessfrågor.
4.4. Övrig finansiell verksamhet
Bestämmelser om sekretess finns i flera olika lagar på finansmarknadsområdet. Flertalet av dessa bestämmelser innebär att ansvar kan följa enligt 20 kap. 3 § brottsbalken för brott mot tystnadsplikt om man röjer en uppgift som man är skyldig att hemlighålla.
De sekretessbestämmelser som i sak har fått samma utformning ska tillämpas på samma sätt. Det är tydligt att flertalet av bestämmelserna är uppbyggda efter samma mönster som bestämmelsen om banksekretess. För dessa gäller att de ska tolkas och tillämpas på samma sätt som banksekretessen med de skillnader som kan höra samman med de olika slag av rörelse i vilka bestämmelserna gäller.41
Ett sekretesskydd kan ändå följa av relationen mellan parterna i sådana finansiella verksamheter för vilka det saknas uttryckliga sekretessbestämmelser i lag. Har ett avtal träffats om saken gäller givetvis detta och i allmänhet kan parterna utgå från att en avtalsreglering ger uttömmande besked om vad som gäller i sekretessfrågan. Sekretess kan också följa av en allmän lojalitetsplikt mot kunden.
Att det är Finansinspektionen som har tillsyn över att de finansiella företagen följer bestämmelserna om tystnadsplikt följer av tillsynsreglerna i respektive rörelselagstiftning.
Vad gäller försäkringsrörelse hänvisas till vad som sägs i avsnitt 4.7.
41 Jansson s. 69.
Ds 2011:7 Gällande rätt
Sparbankslagen innehåller bestämmelser om hur en sparbank bildas och om dess organisation m.m. I 1 kap. 1 § görs en hänvisning till lagen om bank- och finansieringsrörelse vilket bl.a. innebär att bestämmelsen om tystnadsplikt gäller också i sparbanksrörelsen.
Lagen ( 2002:149 ) om utgivning av elektroniska pengar
Elektroniska pengar är ett penningvärde som representerar en fordran på utgivaren och som, utan att finnas på ett individualiserat konto, är lagrat på ett elektroniskt medium och godkänns som betalningsmedel av andra företag än utgivaren.
I 4 kap. 4 § lagen om utgivning av elektroniska pengar stadgas att enskildas förhållanden till ett institut för elektroniska pengar inte får obehörigen röjas. Enligt paragrafens andra stycket undantas ansvar enligt 20 kap. 3 § brottsbalken för den som bryter mot bestämmelsen.
I förarbetena konstateras endast att bestämmelsen har sin motsvarighet i 1 kap. 5 § lagen (1992:1610) om finansieringsverksamhet (numera 1 kap. 10 § lagen om bank- och finansieringsrörelse).42
I Ds 2010:27 lämnas bl.a. förslag till en lag om elektroniska pengar som avses ersätta lagen (2002:149) om utgivning av elektroniska pengar. Genom ändringarna anpassas reglerna om elektroniska pengar till den reglering av betaltjänster och de nya typer av institut som införts genom lagen om betaltjänster.43
Regeln om tystnadsplikt föreslås få samma lydelse som i lagen om betaltjänster. Vidare föreslås att reglerna om tystnadsplikt bör gälla även för registrerade utgivare. Det innebär att den som är eller har varit knuten till ett institut för elektroniska pengar
42Prop. 2001/02:85 s. 87. 43 Vid tidpunkten för uppdragets redovisning är lagrådsremissen på gemensamberedning inom Regeringskansliet.
Gällande rätt
eller en registrerad utgivare som anställd eller uppdragstagare inte obehörigen får röja eller utnyttja vad han eller hon i anställningen eller under uppdraget i verksamheten med utgivning av elektroniska pengar eller betaltjänster har fått veta om enskildas förhållanden till institutet eller utgivaren.
I fråga om straffansvar föreslås inte någon ändring. Paragrafen innehåller vidare en hänvisning till offentlighets- och sekretesslagen när det gäller det allmännas verksamhet. Vidare hänvisas till kreditupplysningslagen när det gäller utväxling av uppgifter för kreditupplysningsändamål.
Lagändringarna är avsedda att träda i kraft den 30 april 2011.
Lagen ( 2004:46 ) om investeringsfonder
Enligt 2 kap. 19 § lagen om investeringsfonder får enskildas förhållanden till en investeringsfond, ett fondbolag eller ett förvaringsinstitut inte obehörigen röjas. I andra stycket erinras om att i det allmännas verksamhet tillämpas istället bestämmelserna i offentlighets- och sekretesslagen.
Ett fondbolag är ett svenskt aktiebolag som har fått tillstånd att driva fondverksamhet. Ett förvaringsinstitut är en bank eller ett annat kreditinstitut, som förvarar tillgångarna i en investeringsfond och som sköter in- och utbetalningar avseende fonden (1 kap. 1 §).
I förarbetena konstateras att paragrafen innehåller bestämmelser om tystnadsplikt som motsvarar 5 § lagen om värdepappersfonder. Lagen (1990:1114) om värdepappersfonder är numera upphävd och ersatt av lagen (2007:528) om värdepappersmarknaden.
Trots att bestämmelsen om tystnadsplikt rent lagtekniskt överensstämmer med formuleringen av banksekretessen skiljer den sig emellertid åt från banksekretessen såtillvida att det inte föreskrivs något undantag från straffbarhet. Brott mot bestämmelsen kan således vara straffbart enligt brottsbalken som brott mot tystnadsplikt. I förarbetena till lagen om
Ds 2011:7 Gällande rätt
värdepappersfonder anges inte annat än att bestämmelsen är hämtad från bankrörelselagens bestämmelse om banksekretess och att avsikten är att den ska ha samma omfattning som banksekretessen.44
Lagen ( 2007:528 ) om värdepappersmarknaden
I 1 kap. 11 § första stycket i lagen om värdepappersmarknaden stadgas att den som är eller har varit knuten till ett värdepappersbolag, en börs eller en clearingorganisation som anställd eller uppdragstagare inte obehörigen får röja eller utnyttja vad han eller hon i anställningen eller under uppdraget har fått veta om någon annans affärsförhållanden eller personliga förhållanden. Tystnadsplikten gäller alltså inte enbart styrelseledamöter och anställda utan också uppdragstagare som fått kännedom om sådana förhållanden omfattas av tystnadsplikt, t.ex. revisorer och anknutna ombud.45
I paragrafens andra stycke erinras om att det i det allmännas verksamhet ska offentlighets- och sekretesslagen tillämpas. I tredje stycket finns en erinran om att i 5 a § kreditupplysningslagen (1973:1173) finns bestämmelser som innebär att det som gäller om tystnadsplikt enligt paragrafens första stycke inte hindrar att uppgifter i vissa fall utväxlas för kreditupplysningsändamål.
Brott mot bestämmelsen kan vara straffbart enligt brottsbalken som brott mot tystnadsplikt.
I förarbetena till bestämmelsen anges att paragrafen i sak motsvarar 1 kap. 8 § lagen om värdepappersrörelse (1991:981) samt 2 kap. 8 § och 8 kap. 4 § lagen (1992:543) om börs- och clearingverksamhet. Lydelsen i paragrafen har språkligt justerats, eftersom motsvarande bestämmelser i lagen om värdepappersrörelse och lagen om börs- och clearingverksamhet inte är identiska. Någon ändring i sak var inte avsedd.
44Prop. 1989/90:153 s. 52. 45Prop. 2006/07:115 s. 556.
Gällande rätt
Om hemliga uppgifter utnyttjas för privata affärer på ett sådant sätt att den som omfattas av tystnadsplikten bryter mot någon straffbestämmelse i lagen (2005:377) om straff för marknadsmissbruk vid handel med finansiella instrument, ska istället dömas till ansvar enligt den lagen.46
Sammanfattningsvis kan konstateras att bestämmelserna om sekretess i värdepappersbolags värdepappersrörelse skiljer sig från bestämmelsen om banksekretess i flera avseenden. Enligt den förra anges anställda och uppdragstagare som förpliktade att iaktta sekretess till skillnad från det rörelsedrivande företaget och det talas inte om enskilds förhållanden utan om någon annans affärsförhållanden och personliga förhållanden. Vidare är bestämmelsen förenad med straffansvar enligt brottsbalken. Att det skulle komma att föreligga en olikhet i det straffrättsliga ansvaret mellan anställda i värdepappersbolag och anställda i bank som bedriver värdepappersrörelse konstaterades i förarbetena till lagen om värdepappersrörelse.47
Någon egentlig skillnad utifrån ett praktiskt verksamhetsperspektiv när det gäller de subjekt som har att iaktta tystnadsplikt föreligger emellertid inte. I en bank måste det vara så att det i första hand ligger på de anställda att se till att kravet på sekretess iakttas men, när det är aktuellt, även på bankens uppdragstagare. Någon anledning att se annorlunda på kundförhållandet än i en bank finns inte heller trots den språkliga skillnaden mellan ”enskild” i egenskap av kund och ”någon annans”. Kundbegreppet ska, liksom i fråga om banksekretess, ges vidast möjliga tolkning.48
Det finns inte heller någon anledning att dra skilda slutsatser på grund av de skillnader i formulering som förekommer mellan banksekretessen och den finansiella sekretess som föreskrivs för andra slag av finansiella verksamheter än bankrörelse. Att obehörighetsrekvisit förekommer i alla nu aktuella sekretess-
46Prop. 2006/07:115 s. 556. 47 Prop. 1990/91 s. 157. 48 Jansson s. 71.
Ds 2011:7 Gällande rätt
bestämmelser medför också att tolkningen och tillämpningen kan samordnas.49
Lagen ( 1998:1479 ) om kontoföring av finansiella instrument
Enligt 8 kap. 2 § lagen om kontoföring av finansiella instrument får den som är eller har varit anställd hos en central värdepappersförvarare eller hos ett kontoförande institut inte obehörigen röja uppgifter som har registrerats i ett avstämningsregister eller som har lämnats till värdepappersförvararen eller institutet av en förvaltare.
Denna bestämmelse liknar bestämmelsen om tystnadsplikt som finns i lagen om värdepappersmarknaden. Dock är uppgifterna för vilka tystnadsplikt begränsade till just de uppgifter som nämns i bestämmelsen. De flesta kontoförande institut omfattas redan av lagbestämmelser om tystnadsplikt. Bestämmelsen har dock behållits i sin helhet eftersom det kan tänkas att ett kontoförande institut inte är underkastat någon uttrycklig reglering avseende tystnadsplikt.
I förarbetena till bestämmelsen anges att i sak är regeln avfattad på samma sätt som exempelvis regeln om banksekretess och att den självfallet är avsedd att tillämpas på samma sätt. Till skillnad från regeln om banksekretess – men i likhet med sekretessregeln för värdepappersbolag i lagen om värdepappersrörelse – är bestämmelsen straffsanktionerad genom 20 kap. 3 § brottsbalken.50
Lagen ( 2010:751 ) om betaltjänster
Enligt 3 kap. 12 § lagen om betaltjänster får den som är eller har varit knuten till ett betalningsinstitut eller en registrerad betaltjänstleverantör som anställd eller uppdragstagare inte
49 Jansson s. 71. 50Prop. 1997/98:160 s. 182.
Gällande rätt
obehörigen röja eller utnyttja vad han eller hon i anställningen eller under uppdraget i verksamheten med betaltjänster har fått veta om enskildas förhållanden till institutet eller leverantören.
I förarbetena till bestämmelsen menade regeringen att den verksamhet som bedrivs i betalningsinstitut uppvisar större likheter med verksamheten i kreditinstitut än med verksamheten i värdepappersbolag och på börser. Mot denna bakgrund ansåg regeringen att det var lämpligast att reglerna för betalinstitut motsvarade de som gäller för kreditinstitut enlig lagen om bank- och finansieringsrörelse när det gällde frågan om straffansvar. Det framhölls också att det skulle vara tydligt att förbudet att röja uppgifter gällde avseende betaltjänstverksamhet i såväl betalningsinstitut som i registrerade betaltjänstleverantörer. 51
I författningskommentaren anfördes att paragrafen har utformats efter förebild i lagen om bank- och finansieringsrörelse samt lagen om värdepappersrörelse.52
Vidare noteras att det i bestämmelsen hänvisas till offentlighets- och sekretesslagen vad gäller det allmännas verksamhet samt till kreditupplysningslagen.
4.5. Uppgiftsskyldighet och meddelandeförbud
Som tidigare nämnts är det inte fråga om ett obehörigt röjande av uppgift när upplysningsskyldighet följer av lag. I de fall uppgifter ska lämnas till en myndighet enligt lag kan det berörda finansinstitutet inte vägra detta med hänsyn till den finansiella sekretessen. Det kan t.ex. vara frågan om att lämna uppgifter för beskattningsändamål enligt lagen (2001:1227) om självdeklarationer och kontrolluppgifter. När det gäller skyldigheten för finansinstitut att lämna upplysningar vid förundersökning har bestämmelser om skyldighet för detta lagfästs.
I exempelvis 1 kap. 11 § lagen om bank- och finansieringsrörelse framgår att ett kreditinstitut är skyldigt att lämna ut
51Prop. 2009/10:220 s. 146–147. 52Prop. 2009/10:220 s. 333.
Ds 2011:7 Gällande rätt
uppgifter om enskildas förhållanden till institutet, om det under en förundersökning i brottmål begärs av undersökningsledaren. Vidare stadgas att skyldigheten också gäller i ett ärende om rättslig hjälp i brottmål på framställning av en annan stat eller en mellanfolklig domstol, om ett utlämnande av uppgifter begärs av åklagare.
Den undersökningsledare eller åklagare som begär uppgifter med stöd av 1 kap. 11 § lagen om bank- och finansieringsrörelse får enligt 1 kap. 12 § i samma lag, om det krävs för att en utredning inte ska äventyras eller för att uppfylla en internationell överenskommelse, förbjuda att ett kreditinstitut samt dess styrelseledamöter och anställda för kunden eller någon utomstående röjer att uppgifter har lämnats eller att det pågår en förundersökning eller ett ärende om rättslig hjälp i brottmål. Meddelandeförbudet är förenat med straffansvar enligt 1 kap. 13 § lagen om bank- och finansieringsrörelse.
Motsvarande regler om uppgiftsskyldighet och meddelandeförbud finns i lagen om kontoföring av finansiella instrument, lagen om utgivning av elektroniska pengar, lagen om investeringsfonder, lagen om värdepappersmarknaden samt lagen om betaltjänster.
4.6. Kreditupplysningslagen (1973:1173)
I 5 a § kreditupplysningslagen stadgas att vad som gäller om tystnadsplikt i svenska kreditinstituts, betalningsinstituts och värdepappersbolags verksamhet inte hindrar att uppgifter om lämnade krediter, betalningsförsummelser och kreditmissbruk utväxlas för kreditupplysningsändamål inom en krets som utgörs av dessa företag samt sådana företag som har tillstånd av Datainspektionen enligt 3 § första stycket. I den krets som anges ingår även utländska kreditinstitut som avses i 4 kap. 1, 2 , 4 och 6 §§ la gen (2004:297) om bank- och finansieringsrörelse, utländska företag som av ses i 3 kap. 26 och 27 §§ lagen om
Gällande rätt
betaltjänster samt utländska företag som avs es i 4 kap. 1 oc h 4 §§ lagen om värdepappersmarknaden.
Syftet med bestämmelsen är att möjliggöra att uppgifter om kreditengagemang, betalningsförsummelser och kreditmissbruk i ökad utsträckning ska kunnas utnyttjas i kreditupplysningar trots att de kan omfattas av tystnadsplikt. För att tystnadsplikten ska genombrytas ska uppgifterna användas av mottagaren antingen för att göra en egen kreditbedömning eller för att lägga dem till grund för kreditupplysningar. De regler om tystnadsplikt som annars gäller sätts bara ur spel så långt att de berörda uppgifterna kan lämnas ut till ett företag som ingår i den angivna kretsen. 53
Frågan om försäkringsföretag skulle ingå i den slutna kretsen diskuterades i förarbetena till bestämmelsen. Regeringen ansåg dock inte att det fanns förutsättningar att låta försäkringsbolagen ingå i denna grupp eftersom det saknades författningsreglerad tystnadsplikt på försäkringsområdet. Om en sådan bestämmelse skulle införas fanns det dock enligt regeringen inte något hinder mot att försäkringsbolagen skulle få ingå i den slutna användargruppen.54
4.7. Försäkringsverksamhet
4.7.1. Allmänt om försäkringar
Försäkringar delas ofta in i två huvudkategorier, socialförsäkringar och privata försäkringar. Socialförsäkringarna garanterar alla som är bosatta i Sverige ersättning vid t.ex. sjukdom, föräldraledighet och rehabilitering. Dessa försäkringar administreras främst av Försäkringskassan. De flesta har även privata försäkringar av olika slag, alltifrån hemförsäkringar till sjuk- och livförsäkringar. Dessa försäkringar fyller en viktig
53Prop. 1996/97:65 s. 65–66. 54Prop. 1996/97:65 s. 51.
Ds 2011:7 Gällande rätt
funktion i dagens samhälle som komplement till de allmänna försäkringssystemen.
Även om båda kategorierna benämns försäkringar är skillnaderna betydande. Socialförsäkringarna bygger på premiesolidaritet, vilket innebär att kostnaden för att delta inte är relaterad till risken för att behöva utnyttja försäkringen. En person med stor risk att bli sjuk betalar t.ex. inte högre premie, eller avgift, för den allmänna sjukförsäkringen än en person med låg risk. Finansieringen sker via skatter och socialavgifter. Privata försäkringar bygger istället på att premien ska motsvara försäkringstagarens risk för att behöva använda försäkringen. En person med en ökad risk för sjukdom kan alltså få betala mer för en sjukförsäkring eller helt nekas att teckna en sådan försäkring. De privata försäkringarna finansieras av försäkringstagarkollektivet genom premieinbetalningar och försäkringsföretagens verksamhet syftar normalt till att generera vinster.
Socialförsäkringssystemets grundskydd kompletteras av ett antal avtalsförsäkringar. De bygger på överenskommelser mellan arbetsmarknadens parter och omfattar flertalet anställda. En viss procent av den anställdes lön läggs på försäkringar istället för att betalas ut som kontant lön. Utformningen av försäkringarna varierar beroende på kollektivavtalsområde. Gemensamt är dock att de ger ersättning vid arbetsskada, ålderspension, långvarig sjukdom och dödsfall. Vissa avtalsförsäkringar administreras av särskilda försäkringsbolag, s.k. avtalsbolag, som har skapats av arbetsmarknadens parter. För statsanställda sker motsvarande handläggning av den statliga arbetsgivaren. I och med att stora delar av tjänstepensionslösningarna har blivit premiebestämda och den anställde själv får välja försäkringsgivare administreras dock stora delar av tjänstepensionerna numera av andra försäkringsbolag.
I det följande kommer endast de privata försäkringarna att behandlas.
Gällande rätt
4.7.2. Olika typer av privata försäkringar
I försäkringsavtalslagen finns grundläggande bestämmelser om privata försäkringar. Lagen innehåller skilda regler för skadeförsäkring och personförsäkring.
En skadeförsäkring är en försäkring som skyddar mot ekonomisk förlust genom sakskada, ersättningsskyldighet eller ren förmögenhetsskada i övrigt. Exempel på skadeförsäkringar är brand-, inbrotts-, motorfordons- och reseförsäkringar. Även ansvarsförsäkringar, som innebär att man försäkrar sig mot risken att bli skadeståndsskyldig, hänförs till gruppen skadeförsäkringar. Reglerna om skadeförsäkringar är tillämpliga också på vissa särskilda försäkringar som t.ex. trygghetsförsäkringen vid arbetsskada (TFA) och läkemedelsförsäkringar. Även den författningsreglerade patientskadeförsäkringen är en skadeförsäkring.
Skadeförsäkringar delas in i konsumentförsäkringar och företagsförsäkringar. En konsumentförsäkring är en individuell skadeförsäkring som en fysisk person eller ett dödsbo tecknar huvudsakligen för ändamål som faller utanför näringsverksamhet. En företagsförsäkring är en individuell skadeförsäkring som inte är en konsumentförsäkring.
Till kategorin personförsäkringar hör sjuk-, olycksfalls- och livförsäkringar. Gemensamt för personförsäkringar är att vad som försäkras är försäkringstagarens eller någon annans liv och hälsa.
Med sjukförsäkring avses normalt en försäkring som kompenserar kostnader och en viss del av inkomstförlusten vid arbetsoförmåga till följd av sjukdom. Ersättningens storlek beror på hur högt försäkringsbelopp försäkringstagaren valt och på graden av invaliditet. Engångsbelopp kan utgå vid vissa sjukdomar. En olycksfallsförsäkring ger ersättning vid bestående invaliditet på grund av olycksfallsskada. Kombinerade sjuk- och olycksfallsförsäkringar ger ersättning både vid sjukdom och olycksfall.
Ds 2011:7 Gällande rätt
För barn kan tecknas en särskild form av försäkring, s.k. barnförsäkring. En barnförsäkring täcker normalt både olycksfall och sjukdomar och är främst inriktad på att ge periodisk ersättning vid långvariga och svåra skador eller sjukdomar samt engångsbelopp vid vissa sjukdomsdiagnoser eller bestående skador. Ersättning för ökade kostnader till följd av sjukhusvistelse ingår ofta i skyddet.
Det finns två huvudtyper av livförsäkringar – dödsfallsförsäkringar och livfallsförsäkringar. Syftet med en dödsfallsförsäkring är att ge ett ekonomiskt skydd till anhöriga eller andra förmånstagare vid förtida dödsfall. Försäkringssumman betalas ut till förmånstagaren om den försäkrade dör under försäkringstiden, dvs. innan han eller hon har uppnått den i försäkringsavtalet bestämda åldern eller särskilt angivna tidpunkten. Vid en livfallsförsäkring utbetalas försäkringssumman när den försäkrade uppnår den i avtalet angivna åldern.
Skade- och personförsäkringar kan tecknas individuellt eller som kollektiva försäkringar genom t.ex. arbetsgivare eller fackförening. De kollektiva försäkringarna delas in i gruppförsäkringar och kollektivavtalsgrundade försäkringar.
4.7.3. Försäkringsföretagens behov av hälsouppgifter
Personförsäkringar bygger på att premien ska motsvara den risk som försäkringsföretaget åtar sig att täcka. Vid regleringen av en personskada bestäms ersättningens storlek i allmänhet utifrån den faktiska skada som har uppstått. Det är mot denna bakgrund uppenbart att privata försäkringar till sin konstruktion förutsätter att försäkringsföretagen får tillgång till information som rör den försäkrades eller annan skadelidandes hälsotillstånd.
Försäkringsföretagen har behov av hälsouppgifter vid främst två tillfällen. För det första finns ett sådant behov när en person vill teckna – eller förnya – en personförsäkring. Uppgifterna behövs för att göra en bedömning av risken för att personen ifråga kommer att drabbas av en skada som leder till
Gällande rätt
ersättningsskyldighet för försäkringsföretaget. Utifrån denna bedömning tar bolaget ställning till om försäkring kan meddelas och till vilken premie. För det andra behövs hälsouppgifter när en person begär ersättning från en försäkring under påstående att ett försäkringsfall har inträffat. Uppgifterna behövs i detta fall för att fastställa dels att skada (eller sjukdom) föreligger, dels att det finns ett orsakssamband mellan skadan och en omständighet som täcks av försäkringen.
Hälsoinformationen används för att uppnå informationsbalans mellan försäkringstagare och försäkringsföretag. Om bolaget har mindre information än den sökande själv har kan riskbedömningen bli felaktig och premien otillräcklig. Med hänsyn till att försäkringarna gäller stora kollektiv och att utbetalningarna vid försäkringsfall ofta är betydande kan inskränkningar i möjligheten att göra korrekta riskbedömningar få stora konsekvenser. En sådan konsekvens är risken för det som i försäkringssammanhang kallas moturval.
Moturval är en konsekvens av asymmetrisk information, dvs. när säljare och köpare har olika mycket information om en vara vilket kan leda till över- eller underpris. Bland annat mot denna bakgrund finns i 4 kap. 1 § försäkringsrörelselagen ett krav på att en försäkringsrörelse ska bedrivas med kontroll över försäkringsriskerna så att åtagandena mot försäkringstagarna och andra ersättningsberättigade kan fullgöras.
I försäkringsavtalslagen finns det vidare regler om upplysningsplikt för försäkringstagare och försäkrade. Han eller hon är enligt 12 kap. 1 § skyldig att på försäkringsföretagets begäran lämna upplysningar som kan ha betydelse för frågan om en personförsäkring ska meddelas, utvidgas eller förnyas. Försäkringstagaren (eller den försäkrade) ska ge riktiga och fullständiga svar på försäkringsföretagets frågor. Bakgrunden är att det normalt endast är försäkringstagaren eller den försäkrade som har kunskap om de förhållanden som påverkar riskens storlek i det enskilda fallet.
Upplysningsplikten är sanktionerad genom tämligen stränga påföljder. Om försäkringstagaren vid fullgörandet av sin
Ds 2011:7 Gällande rätt
upplysningsplikt har förfarit svikligt eller i strid mot tro och heder, är avtalet ogiltigt och försäkringsföretaget fritt från ansvar för försäkringsfall som inträffar därefter (12 kap. 2 § första stycket). Har försäkringstagaren eller den försäkrade annars uppsåtligen eller av oaktsamhet som inte är ringa lämnat oriktiga eller ofullständiga uppgifter av betydelse för riskbedömningen och kan försäkringsföretaget visa att det inte skulle ha meddelat försäkring om upplysningsplikten hade fullgjorts, är bolaget fritt från ansvar för inträffade försäkringsfall. Kan försäkringsföretaget visa att det skulle ha meddelat försäkring mot högre premie eller i övrigt på andra villkor än som avtalats, är dess ansvar begränsat till vad som svarar mot den premie och de villkor i övrigt som har avtalats. Dessa bestämmelser får dock inte tillämpas i den mån det skulle leda till ett resultat som är oskäligt mot försäkringstagaren eller hans eller hennes rättsinnehavare (12 kap. 2 § andra och tredje styckena).
4.7.4. Tystnadsplikt i försäkringsverksamhet
Frågan om en lagstadgad tystnadsplikt för försäkringsföretag har såsom nämnts tidigare varit uppe till diskussion under lång tid (se avsnitt 3.4). Försäkringsföretagen har i praktiken tillämpat en frivilligt påtagen tystnadsplikt. Genom Försäkringsförbundets rekommendation som antogs av dess styrelse den 7 oktober 2009 har dock s.k. hanteringsregler avseende sekretess utformats. Rekommendationen utgör en komplettering av de grundläggande bestämmelser som finns i försäkringsrörelselagen, försäkringsavtalslagen och övrig lagstiftning för försäkringsgivare samt personuppgiftslagen (1998:204). Försäkringsgivare ska se till att en tydlig sekretessförbindelse avseende uppgifter om enskilda personers hälsa undertecknas av anställda samt övriga som kan komma att hantera sådana uppgifter. Av sekretessförbindelsen ska det framgå till vilka kategorier av mottagare uppgifter får lämnas ut. Det ska också tydliggöras att
Gällande rätt
uppgifter om hälsa är särskilt känsliga enligt personuppgiftslagen (p. 4).
I några specialfall som redovisas nedan finns en författningsreglerad tystnadsplikt.
Uppgift om genetisk undersökning och genetisk information
I lagen (2006:351) om genetisk integritet m.m. finns särskilda bestämmelser angående information om resultatet av en genetisk undersökning (genetisk information). Försäkringsföretagens möjligheter att inhämta och använda sådan hälsoinformation inskränks genom lagen. I 2 kap. 2 § finns det undantag från det absoluta förbudet att efterforska och använda genetisk information. Detta gäller vid riskbedömd personförsäkring då sådan information får efterforskas och användas när det är fråga om ingående, ändring eller förnyelse av avtal, om den försäkrade har fyllt 18 år och det försäkringsbelopp som ska utgå överstiger 30 prisbasbelopp som engångsbelopp eller fyra prisbasbelopp per år vid periodisk ersättning.
Enligt 4 kap. 14 § försäkringsrörelselagen får uppgift om genetisk undersökning eller genetisk information som avser en enskild person inte obehörigen röjas. Bestämmelsen omfattar såväl handlingssekretess som tystnadsplikt. Sådan uppgift eller information, oavsett om den är dokumenterad eller inte, omfattas alltså av sekretessen. Bestämmelsen är inte begränsad till vissa kategorier av befattningshavare utan gäller allmänt för personer inom ett försäkringsföretag, inklusive uppdragstagare, som kommer i kontakt med en uppgift om genetisk undersökning eller genetisk information.55
Obehörighetsrekvisitet innebär, precis som det omvända skaderekvisitet i 7 kap. 1 § sekretesslagen (motsvarande 25 kap. 1 § offentlighets- och sekretesslagen) om sekretess för personal inom den allmänna hälso- och sjukvården, ett mycket starkt
Ds 2011:7 Gällande rätt
sekretesskydd och en presumtion för att uppgifterna och informationen inte får lämnas ut. Däremot är det inte självklart att tolkningen av detta rekvisit ska stå i överensstämmelse med tolkningen av hälso- och sjukvårdssekretessen. Det beror på att sjukvården och försäkringsföretag, vilka är inrättningar som de respektive sekretessbestämmelserna riktar sig till, har skilda intressen att beakta.56
Bestämmelsen är straffsanktionerad. Den som uppsåtligen bryter mot förbudet kan dömas för brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken till böter eller fängelse i högst ett år. Den som begår gärningen av oaktsamhet kan dömas till böter.
I samband med att en tystnadsplikt infördes avseende uppgift om en genetisk undersökning eller genetisk information i försäkringsrörelselagen infördes identisk reglering om tystnadsplikt i 20 a § lagen om (1972:262) om understödsföreningar och i 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige för försäkringsgivare från tredje land.
Slutligen noteras att tystnadsplikten i dessa avseenden är undantagna från meddelarfrihet enligt 13 kap. 5 § samt 44 kap. 5 §offentlighets- och sekretesslagen. I 44 kap. finns bestämmelser som reglerar i vilken mån sådan tystnadsplikt som följer av bestämmelser i andra författningar än offentlighets- och sekretesslagen inskränker rätten att meddela och offentliggöra uppgifter. Undantag från meddelarfriheten gäller när motsvarande uppgifter och information finns inom den privata hälso- och sjukvården (se punkten 1, avseende 44 kap. 3 § offentlighets- och sekretesslagen).
Gällande rätt
Övriga bestämmelser om sekretess och tystnadsplikt
Ytterligare bestämmelser om sekretess och tystnadsplikt finns i 4 kap. 14 § och 9 kap. 11 §försäkringsrörelselagen.
I 4 kap. 14 § stadgas att en personuppgift som anger att en försäkringstagare har vidtagit dispositioner beträffande försäkringsbelopp som utfaller i framtiden till förmån för annan och som behandlats enligt personuppgiftslagen inte får lämnas ut till förmånstagaren. Den som uppsåtligen eller av oaktsamhet bryter mot bestämmelsen döms till böter eller fängelse i högst ett år (4 kap. 15 §).
Nionde kapitlet i försäkringsrörelselagen reglerar försäkringsgrupper och genomför EG-direktivet om extra tillsyn över försäkringsföretag som ingår i en försäkringsgrupp.57 I 11 § finns en bestämmelse om tystnadsplikt för information som mottagits av de försäkringsföretag som ska upprätta en gruppbaserad redovisning. Den som bryter mot bestämmelsen kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.
I samma kapitel finns även en bestämmelse som föreskriver viss skyldighet för försäkringsföretag att lämna ut uppgifter om enskildas förhållande till företaget, om det under en utredning enligt bestämmelserna om förundersökning i brottmål begärs av förundersökningsledare eller om det i ett ärende om rättslig hjälp i brottmål på framställning av en annan stat eller mellanfolklig domstol begärs av åklagare (9 kap. 12 §).
Vidare finns en bestämmelse om att undersökningsledare eller åklagare får meddela meddelandeförbud, dvs. att företagen samt dess styrelseledamöter och anställda inte får röja för kunden eller för någon utomstående att uppgifter har lämnats till polis/åklagare (13 §). Den som uppsåtligen eller av oaktsamhet bryter mot meddelandeförbudet kan dömas till böter (14 §).
Tystnadsplikt för ett försäkringsföretag kan också uppstå om en enskild lämnat sitt samtycke till att uppgifter i exempelvis journalhandlingar får lämnas till försäkringsföretaget endast
57 Europaparlamentets och rådets direktiv nr 98/78/EG av den 27 oktober 1998 om extra tillsyn över försäkringsföretag som ingår i en försäkringsgrupp.
Ds 2011:7 Gällande rätt
under den förutsättningen att sjukvårdsinrättningen ställer upp förbehåll som inskränker försäkringsföretagets rätt att lämna uppgifterna vidare eller utnyttja dem (12 kap. 2 § andra stycket offentlighets- och sekretesslagen). Om ett sådant förbehåll uppställs uppstår en tystnadsplikt för den som förbehållet riktar sig mot. Följs inte villkoren i förbehållet kan ansvar för brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken komma ifråga.
Skadeståndsskyldighet kan såsom nämnts i avsnitt 4.3.2 alltid göras gällande vid överträdelse av den finansiella sekretessen oavsett rörelseform. Detta har sin grund i avtalsförhållandet mellan kunden och försäkringsföretaget.
Tillsyn
Enligt 14 kap. 2 § försäkringsrörelselagen har Finansinspektionen tillsyn över att de institut som omfattas av lagen bedriver sin verksamhet enligt lagen, andra författningar som reglerar försäkringsföretagets verksamhet, företagets bolagsordning eller stadgar, och företagets försäkringstekniska riktlinjer och beräkningsunderlag samt dess placeringsriktlinjer och riktlinjer för hantering av intressekonflikter.
Finansinspektionen ska enligt 16 kap. 1 § försäkringsrörelselagen ingripa om ett institut inte bedriver sin verksamhet i enlighet med vad som föreskrivs enligt ovan.
4.8. Personuppgiftslagen
Personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen tillämpas på helt eller delvis automatiserad behandling av personuppgifter och på manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt
Gällande rätt
särskilda kriterier (5 §). Detta medför i princip att ett försäkringsföretags hantering av hälsouppgifter omfattas av lagens bestämmelser. Det ligger dock en begränsning i att information ska kunna hänföras till en levande person (3 §).
Behandlingen av personuppgifter måste uppfylla vissa grundläggande krav (9 §). Personuppgifter får behandlas bara om det är lagligt och behandlingen ska alltid ske på ett korrekt sätt och i enlighet med god sed. Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen. Det är inte heller tillåtet att behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Personuppgifter får i regel inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Det finns alltså ett krav på gallring av personuppgifter som hämtats in.
I lagen uppställs vissa förutsättningar för att behandling av personuppgifter över huvud taget ska vara tillåten (10 §). Behandling är bl.a. tillåten om den registrerade har lämnat sitt samtycke till behandlingen. Det krävs att den registrerade, efter att ha fått information om behandlingen av personuppgifter, genom en frivillig, särskild och otvetydig viljeförklaring godtar behandlingen av uppgifter om honom eller henne för att ett giltigt samtycke ska föreligga (3 §). Behandling kan i vissa fall vara tillåten även om samtycke inte har lämnats. Så är fallet om behandlingen är nödvändig för att vitala intressen för den registrerade ska kunna skyddas.
För vissa typer av uppgifter gäller enligt personuppgiftslagen särskilda restriktioner. Det är som huvudregel förbjudet att behandla personuppgifter som rör bl.a. hälsa och sexualliv, s.k. känsliga personuppgifter (13 §). Det finns dock ett antal undantag från förbudet. Känsliga uppgifter får t.ex. behandlas med den registrerades uttryckliga samtycke. Försäkrings-
Ds 2011:7 Gällande rätt
företagens behandling av hälsouppgifter sker regelmässigt med den enskildes samtycke och är alltså tillåten under förutsättning att lagens övriga krav är uppfyllda.
Personuppgiftslagen innehåller vidare bestämmelser bl.a. om rättelse (28 §) och om säkerheten vid behandling av personuppgifter (30-32 §§). Lagen innehåller också en reglering som syftar till att ge ett skydd mot obehörig åtkomst av uppgifterna.
Det integritetsskydd som följer av personuppgiftslagen får allmänt anses som gott. Den kritik som har riktats mot försäkringsföretagens hantering av inhämtade hälsouppgifter har framför allt handlat om att uppgifter inte gallras och att uppgifter sparas under för lång tid.
En förutsättning för att personuppgiftslagens regler ska kunna sägas vara tillräckliga för att skydda försäkringstagarnas integritet är att reglerna verkligen efterföljs. Datainspektionen inledde i mars 2010 ett tillsynsprojekt angående försäkringsföretagens hantering av känsliga personuppgifter, främst vad gäller de anställdas interna åtkomst till personuppgifter om försäkringstagare. I rapporten påpekas bl.a. att det är en grundläggande princip att anställda inom ett försäkringsföretag endast bör ha tillgång till personuppgifter som de behöver för sitt arbete. Försäkringsföretagen måste således ha system för behörighetsstyrning för att begränsa den elektroniska tillgången till personuppgifter. Försäkringsföretagen måste ha rutiner för tilldelning, ändring och borttagning av behörigheter. Det krävs rutiner för systematiska och återkommande uppföljningar av tilldelade behörigheter och att uppföljningar faktiskt sker. Försäkringsföretagen är skyldiga att ha rutiner för att avskilja eller gallra personuppgifter som avser icke beviljade och avslutade försäkringar. I försäkringsföretagens IT-system, i vilka det behandlas känsliga personuppgifter och uppgifter om personer med skyddade personuppgifter, ska det finnas en behandlingshistorik för att kunna utreda vem som har läst, kopierat eller ändrat information. Slutligen hänvisar Datainspektionen till Försäkringsförbundets rekommendation om behandling av personuppgifter om hälsa inom försäkrings-
Gällande rätt
branschen och påpekar att instruktioner som anger under vilka förutsättningar bolagets anställda får ta del av personuppgifter ska vara skriftliga. Försäkringsföretagen bör också se till att alla som har tillgång till personuppgifter får relevant utbildning.58
4.9. Myndighetssekretess i samband med finansiell verksamhet
I princip all tillsyn av finansiell verksamhet i Sverige utövas av Finansinspektionen. Tillsynen omfattas av sekretess enligt 30 kap. 4 § offentlighets- och sekretesslagen. I paragrafens första stycke stadgas att sekretess gäller i en statlig myndighets verksamhet som består i tillståndsgivning eller tillsyn med avseende på bank- och kreditväsendet, värdepappersmarknaden eller försäkringsväsendet för uppgift om affärs- eller driftförhållanden hos den som myndighetens verksamhet avser, om det kan antas att denne lider skada om uppgiften röjs, och för uppgift om ekonomiska eller personliga förhållanden för annan som har trätt i affärsförbindelse eller liknande förbindelse med den som myndighetens verksamhet avser.
De uppgifter som sekretesskyddas är i första hand affärs- eller driftförhållanden hos den som myndigheternas verksamhet avser och för sådana uppgifter föreligger presumtion för offentlighet. Regeringen har dessutom enligt 30 kap. 9 § befogenhet att i särskilda fall besluta om undantag från sekretessen.
När det gäller annan som har trätt i förbindelse med den som myndighetens verksamhet avser, dvs. kunder, finns inget skaderekvisit. Det innebär att absolut sekretess råder oavsett om kunderna är företag eller privatpersoner.
58 Intern åtkomst till känsliga personuppgifter hos försäkringsbolag, Datainspektionens rapport 2010:2.
Ds 2011:7 Gällande rätt
Sekretesstiden för uppgifter i allmänna handlingar är högst 20 år.
Rätten att meddela och offentliggöra uppgifter gäller i fråga om uppgifter om affärs- eller driftförhållanden men inte ifråga om kundförhållanden.
5. Utländsk rätt
5.1. Danmark
Banksekretess och försäkringssekretess
I den danska loven om finansiel virksomhed som gäller såväl banker som försäkringsföretag finns i § 117 en regel om tystnadsplikt som ska iakttas av styrelseledamöter, verkställande direktör, revisorer, samtliga anställda och andra engagerade i verksamheten.59 Dessa personer får inte obehörigen lämna ifrån sig eller utnyttja förtrolig information som de vid utövandet av sin tjänst kommit i kontakt med. Bestämmelsen är straffsanktionerad.
”Obehörigen” innebär att information som annars skulle ha varit hemlig kan lämnas ut i situationer då detta är behörigt. Finansrådet, den danska bankföreningen, har utfärdat riktlinjer kring detta.
Genom lagbestämmelser om uppgiftsskyldighet kan banksekretessen brytas t.ex. i lagstiftning om skattekontroll och penningtvätt.
Upplysningar om ”rent privata förhållanden” får enligt § 119 i huvudregel inte lämnas ut utan kundens samtycke. Samtycket ska avges i skriftlig form (§ 123).
59 Lov–nr 1125 af 23/2010: Lov om finansiel virksomhed.
Utländsk rätt
5.2. Finland
Banksekretess
En bestämmelse om banksekretess finns i 141 § kreditinstitutslagen.60 Finansiell eller personlig information om en kund eller om en annan person som berörs av verksamheten eller om en handels- eller affärshemlighet ska enligt bestämmelsen hållas hemlig. De som förpliktigas att iaktta sekretess är ledningen för ett kreditinstitut eller i en koncern med motsvarande verksamhet eller den som på annat sätt företräder eller är anställd i ett kreditinstitut. Undantag kan göras vid medgivande från den som tystnadsplikten gäller.
Uppgiftslämnande till företag inom samma finansiella företagsgrupp, finans- och försäkringskonglomerat eller sammanslutning regleras i 142 §. Bestämmelsen möjliggör uppgiftslämning som är nödvändig för marknadsföring samt för kundbetjäning och annan skötsel av kundförhållanden. Det gäller dock inte sådana uppgifter som är känsliga enligt personuppgiftslagen.
När skyldighet följer enligt lag måste kreditinstituten lämna information som omfattas av sekretess. För att få rätt till information från ett institut måste myndigheten lämna detaljerade upplysningar om den person som saken gäller och om syftet med begäran.
Försäkringssekretess
Försäkringsbolagslagen innehåller föreskrifter om bl.a. bildande av finländska försäkringsbolag, deras förvaltning, bokslut, solvens, placeringsverksamhet och övervakning.61 Det finns också en särskild bestämmelse om tystnadsplikt som bl.a. förbjuder anställda, ledamöter och uppdragstagare att för
60 Kreditinstitutslag 9.2.2007/121. 61 Försäkringsbolagslag 18.7.2008/521.
Ds 2011:7 Utländsk rätt
utomstående röja något beträffande försäkringsbolagets, dess kunders eller någon annans ekonomiska ställning eller hälsotillstånd eller något som berör andra personliga förhållanden eller en affärs- eller yrkeshemlighet, om inte den till vars förmån sekretessen gäller ger sitt samtycke till att uppgifterna röjs eller om inte något annat bestäms i lag (30 kap. 1 §). Bestämmelsen är straffsanktionerad (30 kap. 4 §).
Den finländska datasekretesslagstiftningen har harmoniserats i enlighet med EU:s datasekretessdirektiv. Den viktigaste lagen inom detta område är personuppgiftslagen (1999/523), vars syfte är att genomföra de grundläggande fri- och rättigheter som tryggar skydd för privatlivet och den personliga integriteten vid behandling av personuppgifter. Lagen omfattar insamling, utlämnande, lagring m.m. av alla slags anteckningar som beskriver fysisk person eller hans egenskaper eller levnadsförhållanden som kan hänföras till honom själv eller hans familj eller någon som lever i gemensamt hushåll med honom (3 § punkterna 1, 2 och 3). Den tillämpas på automatisk behandling av personuppgifter samt på annan behandling av personuppgifter då uppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant (2 §). Den som vid utförandet av åtgärder som har samband med behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhållanden eller ekonomiska ställning, får inte i strid med lagen för tredje man röja de uppgifter som han eller hon på detta sätt har erhållit (33 §).
Utländsk rätt
5.3. Norge
Banksekretess
I forretningsbankloven62 finns de grundläggande reglerna för banksekretessen (3 kap. 18 §). Sekretessen gäller för styrelseledamöter, anställda och revisorer i en bank. Bestämmelsen är straffsanktionerad. En bank kan också bli skadeståndsskyldig vid obehörigt brott mot sekretessen.
Det finns åtskilliga undantag från sekretessen. En domstol kan t.ex. besluta att sekretessen inte ska gälla vid ett vittnesmål eller i samband med en brottsutredning.
Lagreglerad skyldighet att lämna information gäller bl.a. till skattemyndigheterna och till Økokrim vid misstanke om penningtvätt.
Personen som sekretessen gäller för kan också medge att information lämnas ut.
Försäkringssekretess
I forsikringsverksomhetsloven63 finns bestämmelser om norska försäkringsbolag (forsikringsselskaper) och deras verksamhet.
Enligt lagen har anställda och förtroendevalda i ett försäkringsbolag tystnadsplikt beträffande upplysningar som de får om andras affärsmässiga eller privata förhållanden, såvida de inte enligt lag har skyldighet att lämna upplysningar, t.ex. enligt taxeringslagen.64 Detsamma gäller andra som utför uppdrag åt försäkringsbolag. Tystnadsplikten hindrar inte att styrelsen eller någon som har fullmakt från styrelsen lämnar sådana upplysningar som försäkringsbolaget har erhållit i egenskap av kreditinstitution till andra kreditinstitutioner. Tystnadsplikten
62 LOV 1961-05-24 nr 02: Lov om forretningsbanker 63 LOV 2005-06-10 nr 44: Lov om forsikringsverksomhet. 64 LOV 1980-06-13 nr 24: Lov om ligningsforvaltning (ligningsloven).
Ds 2011:7 Utländsk rätt
utgör heller inte hinder mot att hälso- och skadeupplysningar förmedlas till annat försäkringsbolag. Regeringen har dock möjlighet att begränsa tillgången till sådana upplysningar från andra försäkringsbolag (§ 1-6).
Beträffande försäkringsbolagens hantering av hälsoupplysningar gäller vidare personopplysningsloven.65 Lagen omfattar alla upplysningar och värderingar som kan hänföras till en enskild person när de samlas in, registreras m.m. elektroniskt, eller lagras systematiskt förutsatt att upplysningarna om den enskilde kan identifieras (3 § och 2 § punkterna 1, 2 och 3).
Hälsoupplysningar som norska försäkringsbolag samlar in vid tecknande eller reglering av försäkring omfattas efter detta vanligtvis av lagen oavsett om uppgifterna är bevarade på papper eller elektroniskt. Bolagens arkiv är nämligen organiserade så att upplysningar om enskilda kan återfinnas.
65 LOV 2000-04-14 nr 31: Lov om behandling av personopplysninger.
6. Förslag och överväganden
6.1. Banksekretess och tystnadsplikt i övrig finansiell verksamhet
6.1.1. Banksekretess enligt lagen (2004:297) om bank- och finansieringsrörelse
Förslag: Den som är eller har varit knuten till ett kreditinstitut
som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja vad han eller hon i anställningen eller under uppdraget har fått veta om enskildas förhållanden till kreditinstitutet.
Bestämmelsen ska förenas med straffansvar enligt 20 kap. 3 § brottsbalken genom att nuvarande undantag från straffansvar föreslås tas bort.
Skäl för förslaget: Vid en genomgång av befintliga regler om
tystnadsplikt i finansiell verksamhet kan konstateras att dessa skiljer sig åt vad gäller lagteknisk utformning. På vissa håll är dessutom bestämmelserna om tystnadsplikt förenade med straffansvar medan det på andra håll föreskrivs undantag från straffansvar (se avsnitt 4). Som regeringen konstaterade i propositionen 2002/03:139 Reformerade regler för bank- och finansieringsrörelse har gränslinjen mellan olika slag av finansiella verksamheter suddats ut (se avsnitt 3.2). Ur ett kundperspektiv finns det ett befogat intresse att få samma sekretesskydd oavsett den administrativa ramen för rörelsen.
Förslag och överväganden
För tillämparen blir det mer tydligt att den praxis som utvecklas i de olika rörelserna är generellt användbar inom all slags finansiell verksamhet, givetvis med beaktande av de skillnader som kan uppstå på grund av de olika slag av kunduppgifter som kan finnas i olika former av finansiell verksamhet.
Regeringen har i flertalet sammanhang aviserat att sekretessfrågorna i finansiell verksamhet bör behandlas samlat.66 Mitt förslag till omformulering av bestämmelsen om tystnadsplikt i 1 kap. 10 § lagen om bank- och finansieringsrörelse är inte avsett att ändra befintlig praxis på området. Det är, som Banklagskommittén konstaterade i SOU 1999:82Vårdslös kreditgivning samt sekretess i banker m.m., lämpligt att på grund av områdets komplexitet i huvudsak bygga vidare på den litteratur och de fasta sedvänjor som utvecklats kring de nuvarande bestämmelserna.67 Den förändring som föreslås innebär att de som är ansvariga för tystnadspliktens upprätthållande lyfts fram i bestämmelsen. Det torde vara mer ändamålsenligt att sekretessbestämmelsen riktar sig mot de personer som i praktiken hanterar frågorna, dvs. de anställda. Vidare blir det en anpassning till övrig finansiell verksamhet där flertalet bestämmelser om tystnadsplikt numera har fått eller föreslås få denna utformning, se 8 kap. 2 § lagen (1998:1479) om kontoföring av finansiella instrument, 3 kap. 4 § lagen (2002:149) om utgivning av elektroniska pengar68, 1 kap. 11 § lagen (2007:528) om värdepappersmarknaden och 3 kap. 12 § lagen (2010:751) om betaltjänster.
Det blir också med den nya lagtekniska lösningen mer naturligt att koppla ett straffansvar till bestämmelsen. För utförligare resonemang kring detta hänvisas till nedanstående avsnitt angående straffrättsligt ansvar.
66 Se bl.a. prop. 2002/03:139. 67SOU 1999:82 s. 14. 68 Se Ds 2010:27.
Ds 2011:7 Förslag och överväganden
Ansvariga för tystnadspliktens upprätthållande
Den nuvarande sekretessbestämmelsen i lagen om bank- och finansieringsrörelse riktar sig underförstått mot banken (kreditinstitutet) att inte röja sina kunders förhållanden. Det är således banken i egenskap av juridisk person som är bunden av sekretessbestämmelsen. Med den utgångspunkten är de som på associationsrättslig grund har rätt att företräda banken bundna av sekretessbestämmelsen, exempelvis styrelsen, verkställande direktören eller firmatecknare. De som normalt sett har att hantera kunderna, dvs. de anställda, agerar genom ställningsfullmakt mot kunderna.
Eftersom det i den praktiska bankverksamheten i första hand vilar på de anställda att för bankens räkning se till att sekretessen iakttas torde det vara mer ändamålsenligt att i bestämmelsen rikta kravet på sekretessens upprätthållande mot anställda och, när det är aktuellt också mot uppdragstagare. Senare reglering av tystnadsplikt inom olika finansiella rörelser har också fått denna lagtekniska lösning.
Enligt 29 kap. 1 § aktiebolagslagen (2005:551) ska en stiftare, styrelseledamot eller verkställande direktör som när han eller hon fullgör sitt uppdrag, uppsåtligen eller av oaktsamhet skadar bolaget ersätta skadan. Enligt 20 § revisorslagen (2001:883) ska en revisor i revisionsverksamheten utföra sina uppdrag med opartiskhet och självständighet samt vara objektiv i sina ställningstaganden. Dessa subjekt faller således in under kriteriet uppdragstagare.
Oavsett vilken finansiell rörelseform som bedrivs kan överträdelse av den finansiella sekretessen föranleda skadestånd för det finansiella företaget. Detta följer av avtalsförhållandet till kunden som förutsätter ömsesidigt förtroende och lojalitet. Det finansinstitut som de kundrelaterade uppgifterna har lämnats till har även fortsättningsvis att ansvara för uppgifterna. Även om bestämmelsen om tystnadsplikt föreslås riktas mot de anställda kan således anspråk riktas mot banken i egenskap av juridisk person eftersom banken alltjämt enligt avtalsförhållandet till
Förslag och överväganden
kunden riskerar att bli skadeståndsskyldig vid ett obehörigt utlämnande.
Det åligger vidare kreditinstitutet att bedriva rörelsen enligt lagen om bank- och finansieringsrörelse (13 kap. 2 § lagen om bank- och finansieringsrörelse). Det innebär att ansvaret för att sekretessen fungerar tillfredsställande även fortsättningsvis vilar på ledningen för institutet. Klargöranden för vad som gäller i sekretesshänseende kan göras i interna instruktioner, reglementen eller liknande.
Förbud mot utnyttjande av en hemlig uppgift
Som konstaterats i avsnitt 4.3.2 får ett utnyttjandeförbud av hemlig uppgift anses råda trots avsaknaden av en sådan bestämmelse i den aktuella rörelselagstiftningen. Om förbud gäller enligt offentlighets- och sekretesslagen mot att röja en uppgift, får uppgiften inte heller i övrigt utnyttjas utanför den verksamhet för vilken den är sekretessreglerad (7 kap. 1 §). Ett utnyttjandeförbud korresponderar också med motsvarande straffbestämmelse i brottsbalken som ju inte endast innehåller förbud mot röjande utan också ett förbud mot olovligt utnyttjande av hemlig uppgift. Även ett olovligt utnyttjande utan att något röjande äger rum är alltså förbjudet.
Med hänsyn därtill samt att jag föreslår att brott mot tystnadsplikt och utnyttjande av hemlig uppgift införs i all finansiell verksamhet får det anses ändamålsenligt att utnyttjandeförbudet direkt följer av rörelselagstiftningen. Förbud mot att utnyttja uppgifter följer dessutom redan av 1 kap. 11 § lagen om värdepappersmarknaden samt 3 kap. 12 § lagen om betaltjänster.
Ds 2011:7 Förslag och överväganden
De som sekretessen är avsedd att skydda
Vad gäller begreppet ”enskildas förhållanden till kreditinstitut” innebär förslaget inte några ändringar. Huvuddragen i banksekretessens innebörd återges bl.a. i Propositionen 2002/03:139
Reformerade regler för bank- och finansieringsrörelse.69 För en utförligare redovisning hänvisas till Per-Ola Jansson som i boken Banksekretess och annan finansiell sekretess, utgiven av Svenska
Bankföreningen, har gjort en rättslig undersökning av ämnet. Boken är en moderniserad fortsättning på Håkan Nials verk
Banksekretessen (5 uppl. 1987 i samverkan med Per-Ola Jansson) i det att den också behandlar ett vidare område än banksekretessen.
Obehörighetsbegreppet
Förslaget innebär inte heller någon ändring i sak vad gäller obehörighetsbegreppet. Tillämpningen och tolkningen av begreppet får i huvudsak bygga vidare på den litteratur och de fasta sedvänjor som utvecklats kring den nuvarande bestämmelsen. Även här finns i prop. 2002/03:139 s. 478 exempel på situationer när det anses behörigt av en bank att lämna ut upplysningar. För utförligare redovisning hänvisas åter till Per-Ola Janssons bok Banksekretess och annan finansiell sekretess.
Straffrättsligt ansvar
För närvarande råder inte någon enhetlig straffsanktionering av tystnadsplikt för de finansiella företagen. Straffsanktionering förekommer i vissa lagar genom att straffbestämmelsen i 20 kap. 3 § brottsbalken blir tillämplig om inte annat sägs, se exempelvis 8 kap. 2 § lagen om kontoföring av finansiella instrument, 2 kap. 19 § lagen (2004:46) om investeringsfonder, 1 kap. 11 § lagen om
69Prop. 2002/03:139 s. 477-478.
Förslag och överväganden
värdepappersmarknaden samt 4 kap. 16 § försäkringsrörelselagen (2011:000). Det kan också konstateras att ansvar för brott mot tystnadsplikten är föreskrivet i de särskilda bestämmelserna om tystnadsplikt i 6 kap. 7 § lagen (2006:531) om särskild tillsyn över finansiella konglomerat, 10 kap. 17 § lagen (2006:1371) om kapitaltäckning och stora exponeringar samt 9 kap. 11 § försäkringsrörelselagen. Dessa bestämmelser utgör alltså komplement till vad som redan gäller enligt sektorsbestämmelserna. Brott mot den tystnadsplikt som stadgas i 1 kap. 10 § lagen om bank- och finansieringsrörelse är däremot straffri genom att undantag från straffansvar är särskilt föreskrivet i bestämmelsen. Samma förhållande gäller enligt lagen om utgivning av elektroniska pengar samt lagen om betaltjänster. Frågan är om det är motiverat att införa ett straffrättsligt ansvar även på dessa områden.
Det är möjligt att incitamenten att iaktta sekretess är tillräckliga även i de fall undantag har gjorts från straffbarhet enligt 20 kap. 3 § brottsbalken. Det är nämligen ovanligt att åtal väcks för brott mot finansiell sekretess.70 Rättspraxis är knapp i fråga om såväl skadestånd som straff. Det bör emellertid noteras att banksekretessen är straffsanktionerad i såväl Danmark, Finland som Norge.
Från bankhåll görs gällande att det är opåkallat att straffsanktionera tystnadsplikten eftersom något behov inte kan påvisas. Att påföra ett straffansvar skulle dessutom verka hämmande på bankens anställda och leda till en administrativt betungande ordning som i slutänden kommer att drabba bankens kunder. Det finns vidare en oro för att fler rättsliga processer kommer att riktas mot banken.
När förslaget om en generell sekretessbestämmelse skulle införas i försäkringsverksamhet förordade Lagrådet att tystnadsplikten skulle vara straffsanktionerad. Lagrådet ansåg att det var svårt att se någon grund för skadestånd annat än om brottet kan ses som ett angrepp på den berörda personens frid
70 Jansson, s. 91.
Ds 2011:7 Förslag och överväganden
eller ära och innefattar en allvarlig kränkning, vilket inte alltid behöver vara fallet. Lagrådet ansåg inte heller att det var lätt att uppfatta hur Finansinspektionens tillsynsverksamhet skulle kunna skydda enskilda mot att information lämnas i strid med bestämmelsen om tystnadsplikt.71 Här var det förvisso inte bara fråga om kundens ekonomiska uppgifter i förhållande till försäkringsföretaget utan även om uppgifter avseende enskildas hälsotillstånd etc., men sekretessen för den enskilde kunden i ett kreditinstitut uppfattas nog av denne som väl så viktig. Det torde emellertid inte råda någon tvekan om att röjandet av en kunds hemlighet strider mot sekretessplikten oavsett om skadestånd eller annan sanktion kan följa på röjandet eller inte. Jag anser att ett straffrättsligt ansvar nu bör införas i kreditinstitut, särskilt eftersom ett sådant ansvar redan är föreskrivet i annan finansiell verksamhet, även sådan där hälsouppgifter inte figurerar, samt mot bakgrund av att det enligt min mening kan ifrågasättas om det är rimligt att en tjänsteman i ett kreditinstitut straffritt ska kunna bryta mot tystnadsplikten beträffande enskildas förhållanden till institutet.
När bestämmelsen om tystnadsplikt i 6 kap. 7 § lagen om särskild tillsyn över finansiella konglomerat föreslogs, förordade Lagrådet att frågan bör lösas på ett enhetligt sätt där inte en särreglering kan motiveras. Regeringen, som delade den uppfattningen, anförde att den avsåg att återkomma till frågan i ett senare lagstiftningsärende.72 Även i propositionen 2009/10:220 Betaltjänster har regeringen anfört att sekretessbestämmelserna för finansiella företag bör övervägas ytterligare, bl.a. mot bakgrund av att sekretesskraven i de olika lagarna åtföljs av olika sanktionssystem.73
Anledningen till att banker sedan länge undantagits från ansvar enligt brottsbalken står att finna i bestämmelsen om tystnadsplikt enligt 20 kap. 3 § brottsbalken. Bestämmelsen om banksekretess fanns redan i 1955 års lag om bankrörelse. På den
71Prop. 2005/06:64 s. 271. 72Prop. 2005/06:45 s. 228. 73Prop. 2009/10:220 s. 146.
Förslag och överväganden
tiden gällde inte 20 kap. 3 § brottsbalken för andra än offentliga funktionärer. Genom lagen (1975:667) om ändring i brottsbalken vidgades emellertid tillämpningsområdet för 20 kap. 3 § till att omfatta envar som exempelvis röjer uppgift som han är pliktig att hemlighålla enligt lag. I övergångsbestämmelser till den lagen stadgades, att vad som sades i den nya bestämmelsen i 20 kap. 3 § inte skulle tillämpas i fråga om åsidosättande av sådan tystnadsplikt som vid ikraftträdandet av den nya bestämmelsen inte var straffsanktionerad. I lagen om bankrörelse togs sedermera in ett förtydligande av vad som redan följde av den nyss nämnda övergångsbestämmelsen.74
Nu gällande bestämmelser om tystnadsplikt för banker, kreditmarknadsföretag, institut för elektroniska pengar, betalningsinstitut respektive betaltjänstleverantörer finns i lagar som trätt i kraft efter det att 20 kap. 3 § brottsbalken kom att gälla även för andra än offentliga funktionärer. De omfattas därför inte av den tidigare nämnda övergångsbestämmelsen. Även mot den bakgrunden kan det ifrågasättas om ovan nämnda institut bör vara undantagna från ansvar enligt 20 kap. 3 § brottsbalken.
Med förslagets utformning att anställda och uppdragstagare pekas ut som ansvariga för sekretessens iakttagande blir det också mer naturligt att straffbelägga brott mot tystnadsplikten.
Enligt uttalanden i lagförarbeten bör kriminalisering som metod för att hindra överträdelser av olika normer i samhället användas med försiktighet.75 Det har också framhållits att kriminalisering inte är det enda och inte alltid det mest effektiva medlet för att motverka oönskade beteenden. Med hänsyn härtill har överträdelser av aktiebolagslagens bestämmelser straffsanktionerats endast i den utsträckning det saknas andra lämpliga sanktioner, såsom skadestånd och vite.76 Angivna ståndpunkter bör göra sig gällande även när frågor om straffansvar i den finansiella rörelselagstiftningen ska prövas. Nu är det emellertid frågan om att följa eller att inte följa en huvudregel; brott mot
74Prop. 1981/82:180 s. 337. 75Prop. 1994/95:23 s. 52 f. 76Prop. 2004/05:85 s. 494.
Ds 2011:7 Förslag och överväganden
lagstiftad tystnadsplikt föranleder regelmässigt ett straffansvar enligt brottsbalken.
Genom att undantaget från straffansvar föreslås tas bort kommer således ansvar för brott mot de nya bestämmelserna om tystnadsplikt att följa enligt 20 kap. 3 § brottsbalken. En förutsättning för att ansvar ska kunna utkrävas är att röjandet eller nyttjandet har skett obehörigen.
När brott mot den finansiella sekretessen blir ett brott i straffrättslig mening kan den som befunnits ansvarig för detta bli skadeståndsskyldig. Talan om skadestånd på grund av brott kan riktas mot den som åtalas och kan utdömas om åtalet bifalls. Det bör dock i sammanhanget betonas att den civilrättsliga skadeståndstalan är helt skild från den straffrättsliga och att grunden för denna är skadeståndslagens regler.
Avslutningsvis erinras dock om att överträdelse av den finansiella sekretessen oavsett rörelseform kan föranleda skadestånd för institutet. Skadeståndsskyldigheten har sin grund i avtalsförhållandet mellan de finansiella företagen och deras kunder. En förutsättning för att skadestånd ska kunna utgå är givetvis att ett obehörigt utlämnande av kunduppgifter har lett till en påvisbar skada som drabbat kunden.
6.1.2. Tystnadsplikt enligt lagen (1998:1479) om kontoföring av finansiella instrument
Förslag: Regeln om tystnadsplikt i lagen om kontoföring av
finansiella instrument formuleras delvis om i enlighet med förslaget om tystnadsplikt för kreditinstitut i lagen om bank- och finansieringsrörelse.
Bedömning: Eftersom lagen reglerar kontoföring i
avstämningsregister är det motiverat att vissa uppgifter pekas ut i lagen och att bestämmelsen därför inte harmoniseras fullt ut med övriga bestämmelser om tystnadsplikt i finansiell verksamhet.
Förslag och överväganden
Tystnadsplikten ska även fortsättningsvis vara straffsanktionerad.
Skäl för förslaget: För att uppnå en mer enhetlig reglering
om tystnadsplikt inom de finansiella företagen föreslås att nuvarande bestämmelse delvis formuleras om. Tystnadsplikten riktas redan enligt gällande lydelse mot den som är eller har varit anställd. Några hinder mot att vidga denna krets till att omfatta även uppdragstagare kan inte anses föreligga.
Även om ett förbud att utnyttja kännedom om kundens förhållanden redan kan anses följa av avtalsförhållandet bör ett lagstadgat förbud att utnyttja sekressbelagda uppgifter införas efter förebild från lagen om värdepappersmarknaden (se avsnitt 6.1.1).
Till skillnad från övrig lagstiftning som promemorian lämnar förslag i som är rörelselagstiftning för specifika finansiella verksamheter innehåller lagen om kontoföring av finansiella instrument bestämmelser om kontoföring i avstämningsregister. Avstämningsregister för de ändamål som avses i lagen får föras av auktoriserade centrala värdepappersförvarare och frågor om auktorisation prövas av Finansinspektionen.
Paragrafen pekar enligt gällande lydelse ut att det rör sig om uppgifter som har registrerats i ett avstämningsregister eller som har lämnats till värdepappersförvararen eller institutet av en förvaltare. Genom att lagen endast avser kontoföring är det motiverat att behålla gällande lydelse som innebär att tystnadsplikten är begränsad till uppgifter som har registrerats i ett avstämningsregister eller som har lämnats till värdepappersförvararen eller institutet av en förvaltare.
Bestämmelsen bör även fortsättningsvis vara straffsanktionerad.
Ds 2011:7 Förslag och överväganden
6.1.3. Tystnadsplikt enligt lagen (2002:149) om utgivning av elektroniska pengar
Förslag: Den som är eller har varit knuten till ett institut för
elektroniska pengar eller en registrerad utgivare som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja vad han eller hon i anställningen eller under uppdraget i verksamheten med utgivning av elektroniska pengar eller betaltjänster har fått veta om enskildas förhållanden till institutet eller utgivaren.
Det erinras om att i det allmännas verksamhet tillämpas istället bestämmelserna i offentlighets- och sekretesslagen.
Bestämmelsen ska förenas med straffansvar enligt 20 kap. 3 § brottsbalken genom att nuvarande undantag från straffansvar föreslås tas bort.
Skäl för förslaget: För att uppnå en mer enhetlig reglering
om tystnadsplikt inom de finansiella företagen föreslås att nuvarande bestämmelse formuleras om. Tystnadsplikten är enligt gällande lydelse riktad mot institutet som juridisk person enligt modellen i lagen om bank- och finansieringsrörelse. I Ds 2010:27
Genomförande av det nya e-penningdirektivet föreslås bestämmelsen om tystnadsplikt få samma utformning som i lagen om betaltjänster, dvs. att tystnadsplikten riktar sig mot anställda eller uppdragstagare. Förslaget ligger således i linje med den lösning som jag förespråkar. Enligt Ds 2010:27 bör reglerna om tystnadsplikt gälla även för registrerade utgivare.
Även om ett förbud att utnyttja kännedom om kundens förhållanden kan anses följa redan av avtalsförhållandet bör ett lagstadgat förbud att utnyttja hemliga uppgifter införas (se avsnitt 6.1.1).
Bestämmelsen bör emellertid vara straffsanktionerad i enlighet med de skäl som anförts under avsnitt 6.1.1. Genom att undantaget från straffansvar föreslås tas bort kommer ansvar för brott mot de nya bestämmelserna om tystnadsplikt att följa enligt 20 kap. 3 § brottsbalken.
Förslag och överväganden
I övrigt ansluter jag mig till det förslag som lämnats i ovan nämnda Ds.
6.1.4. Tystnadsplikt enligt lagen (2004:46) om investeringsfonder
Förslag: Den som är eller har varit knuten till en
investeringsfond ett fondbolag eller ett förvaringsinstitut som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja vad han eller hon i anställningen eller under uppdraget har fått veta om enskildas förhållanden till investeringsfonden, fondbolaget eller förvaringsinstitutet.
Bedömning: Tystnadsplikten ska även fortsättningsvis vara
straffsanktionerad.
Skäl för förslaget: För att uppnå en mer enhetlig reglering
om tystnadsplikt inom de finansiella företagen föreslås att nuvarande bestämmelse formuleras om. Tystnadsplikten är enligt gällande lydelse riktad mot institutet som juridisk person enligt modellen i lagen om bank- och finansieringsrörelse. En ändring är motiverad enligt de skäl som anförts i avsnitt 6.1.1.
Även om ett förbud att utnyttja kännedom om kundens förhållanden redan kan anses följa av avtalsförhållandet bör ett lagstadgat förbud att utnyttja sådana uppgifter införas (se avsnitt 6.1.1).
Tystnadspliktens samband med investeringsfonden, fondbolaget eller förvaringsinstitutet tydliggörs genom förslaget.
Bestämmelsen bör även fortsättningsvis vara straffsanktionerad.
Ds 2011:7 Förslag och överväganden
6.1.5. Tystnadsplikt enligt lagen (2007:528) om värdepappersmarknaden
Förslag: Regeln om tystnadsplikt i värdepappersrörelse, en börs
eller i en clearingorganisation anpassas till promemorians övriga förslag om tystnadsplikt i finansiell verksamhet.
Bedömning: Tystnadsplikten ska även fortsättningsvis vara
straffsanktionerad.
Skäl för förslaget: Nuvarande lydelse av bestämmelsen om
tystnadsplikt i värdepappersrörelse är i huvudsak redan utformad enligt den modell som jag förespråkar. För att uppnå en mer enhetlig reglering bör någon annans affärsförhållanden eller personliga förhållanden bytas ut mot enskildas förhållanden. Det finns inte någon anledning att se annorlunda på kundförhållandet än i en bank utan kundbegreppet ska liksom i fråga om banksekretess ges vidast möjliga tolkning. Även sekretessens samband med värdepappersrörelsen, en börs eller en clearingorganisation, tydliggörs genom förslaget. Någon ändring i sak är inte avsedd.
Bestämmelsen bör även fortsättningsvis vara straffsanktionerad.
6.1.6. Tystnadsplikt enligt lagen (2010:751) om betaltjänster
Förslag: Regeln om tystnadsplikt i betalningsinstitut eller i en
registrerad betaltjänstleverantör anpassas till promemorians övriga förslag om tystnadsplikt i finansiell verksamhet. Bestämmelsen ska förenas med straffansvar enligt 20 kap. 3 § brottsbalken genom att nuvarande undantag från straffansvar föreslås tas bort.
Bedömning: Eftersom ett betalningsinstitut eller en
registrerad betaltjänstleverantör får tillhandahålla närliggande
Förslag och överväganden
tjänster och driva annan verksamhet än tillhandahållandet av betaltjänster är det motiverat att avgränsa tystnadsplikten till att avse verksamheten med betaltjänster.
Skäl för förslaget: Nuvarande lydelse av bestämmelsen om
tystnadsplikt i lagen om betaltjänster är redan utformad enligt den modell som jag förespråkar. Av förarbetena framgår att paragrafen har fått sin utformning efter förebild från bestämmelsen om tystnadsplikt i lagen om värdepappersmarknaden.77 Med anledning av att betalningsinstitut och registrerade betaltjänstleverantörer får tillhandahålla närliggande tjänster och driva annan verksamhet än tillhandahållandet av betaltjänster är det motiverat att avgränsa tystnadsplikten till att avse verksamheten med betaltjänster.
Bestämmelsen bör förenas med ett straffansvar av de skäl som anförts under avsnitt 6.1.1. Genom att undantaget från straffansvar föreslås tas bort kommer således ansvar för brott mot bestämmelsen om tystnadsplikt att kunna följa enligt 20 kap. 3 § brottsbalken.
6.2. Tystnadsplikt i försäkringsverksamhet
6.2.1. Generell tystnadsplikt i försäkringsföretag och för försäkringsgivare från tredje land
Förslag: En bestämmelse om tystnadsplikt som innebär att den
som är eller har varit knuten till ett försäkringsföretag som anställd eller uppdragstagare inte obehörigen får röja eller utnyttja vad han eller hon i anställningen eller under uppdraget har fått veta om enskildas hälsotillstånd eller om andra
Ds 2011:7 Förslag och överväganden
förhållanden till försäkringsföretaget ska införas i försäkringsrörelselagen (2010:2043).
Motsvarande bestämmelse ska föras in i 5 kap. gällande försäkringsgivare från tredje land i lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige.
Det ska erinras om att i det allmännas verksamhet ska bestämmelserna i offentlighets- och sekretesslagen tillämpas.
Tystnadsplikten ska vara förenad med straffansvar.
Skäl för förslaget: Bestämmelser om tystnadsplikt på
försäkringsområdet är i dag begränsade och rör endast ett fåtal specifika uppgifter (se bl.a. 4 kap.14 och 16 §§försäkringsrörelselagen).78 Banksekretess har funnits länge och sekretessreglering finns även på värdepappersmarknadsområdet. Försäkringsföretagen får i sin verksamhet del av ett mycket stort antal uppgifter inte bara rörande ekonomiska förhållanden utan även uppgifter om enskilda personers hälsotillstånd, familjeförhållanden och andra förhållanden av personlig art. En del av uppgifterna är till sin karaktär ytterst integritetskänsliga varför en författningsreglering framstår som än mer angelägen.
Såsom tidigare nämnts i avsnitt 3.4.2 har regeringen vid ett flertal tillfällen pekat på att frågan om sekretess på försäkringsområdet borde övervägas ytterligare i samband med en översyn av sekretesskyddet i övrig finansiell verksamhet.
Införandet av en generell sekretessbestämmelse i försäkringsverksamhet ligger också i linje med de nyligen föreslagna ändringarna i propositionen 2009/10:241 Ett förstärkt integritetsskydd i försäkringssammanhang med förslag till ändringar i försäkringsavtalslagen (2005:104).79 I propositionen föreslås åtgärder för ett förstärkt integritetsskydd på försäkringsområdet med sikte främst på formerna för
78Prop. 2009/10:246 beslutades av riksdagen den 8 december 2010. Reglerna träder i kraft den 1 april 2011. 79Prop. 2009/10:241 antogs av riksdagen den 20 december 2010. Lagändringarna träder i kraft den 1 juli 2011.
Förslag och överväganden
inhämtande av hälsouppgifter från t.ex. hälso- och sjukvården. Syftet med lagändringarna är att säkerställa att försäkringsföretagen inte slentrianmässigt begär samtycke till att inhämta hälsouppgifter samt att lämnade samtycken är frivilliga och bygger på tillräcklig information. Lagändringarna träder i kraft den 1 juli 2011.
Tystnadsplikt för anställda i försäkringsföretag har inte bara uppmärksammats i Sverige. Europarådet har t.ex. i en rekommendation uttalat att medlemsstaterna ska säkerställa att anställda i försäkringsföretag som får del av personuppgifter ska omfattas av regler om tystnadsplikt (Recommendation rec [2002]9 on the protection of personal data collected and processed for insurance purposes).
Såsom framgår av avsnitt 5 är tystnadsplikten lagreglerad i våra grannländer Norge, Danmark och Finland.
Inom den allmänna hälso- och sjukvården gäller sekretess till skydd för uppgift om enskilds hälsotillstånd och andra personliga förhållanden och motsvarande reglering gäller inom den enskilda hälso- och sjukvården (se avsnitt 4.2 och 4.3.1). Även hos Försäkringskassan gäller sekretess. När integritetskänsliga uppgifter lämnas ut till ett försäkringsföretag med den enskildes samtycke, har denne givetvis ett legitimt intresse av att uppgifterna inte kommer till obehörigas kännedom.
Även om försäkringsföretagen betraktar inkomna uppgifter som strängt konfidentiella och iakttar en självpåtagen tystnadsplikt bör bestämmelser om tystnadsplikt på försäkringsområdet införas bl.a. för att upprätthålla allmänhetens samt hälso- och sjukvårdspersonalens förtroende för försäkringsföretagen. Det sagda bör också gälla för försäkringskundernas förtroende för försäkringsföretagen. Inte minst för försäkringsföretagen borde det vara betydelsefullt att kunderna verkligen litar på bolagens behandling av inhämtade uppgifter, vilket i sin tur underlättar för försäkringsföretagen att införskaffa nödvändig information. Arbetet för den enskilde handläggaren skulle också underlättas genom att det skulle bli lättare att neka att besvara förfrågningar från obehöriga.
Ds 2011:7 Förslag och överväganden
Som tidigare kommittéer konstaterat skulle försäkringsföretagens verksamhet kunna underlättas genom att praxis beträffande försäkringsföretags rätt att lämna ut uppgifter kan komma att bli klarare. Finansinspektionen skulle kunna ingripa i konkreta fall mot bolag som inte iakttar tystnadsplikten samt ge vägledning genom olika uttalanden och allmänna råd.
Regleringen föreslås i huvudsak få samma allmänna och generella utformning som bestämmelserna om tystnadsplikt som finns inom övriga finansiella områden och med samma lagtekniska utformning som jag föreslagit genomgående i promemorian. I fråga om de föreslagna bestämmelsernas tillämpning och tolkning förutsätts att ledning hämtas från vad som redan gäller för tystnadsplikten inom bankverksamhet.
För att markera försäkringsföretagens särart i förhållande till övrig finansiell verksamhet bör det dock framgå av lagtexten att det kan vara fråga om hälsouppgifter såväl som övriga uppgifter som rör en försäkringstagares mellanhavande med försäkringsföretaget. Eftersom det inte av de nya sekretessbestämmelserna föreslås närmare vad som avses med ”obehörigen” lämnas nedan viss vägledning för tillämpningen av bestämmelsen (se avsnitt ”När ska sekretess gälla?”)
För en allmän och generell lagstiftningsteknik med ett bärande obehörighetsrekvisit talar att det inte går att förutse alla framtida förhållanden i vilka sekretessfrågor kan uppträda. En lagbestämmelse måste därför, i likhet med bestämmelsen om banksekretess, få en allmän och generell utformning. Enligt min mening är det lämpligt att sekretessbestämmelserna i all finansiell verksamhet i huvudsak har samma utformning. Detta ter sig särskilt angeläget eftersom gränslinjen mellan olika slag av finansiella verksamheter, såsom påpekats tidigare, inte är lika tydlig idag som tidigare. Kunderna torde dock ha ett befogat intresse av att få samma sekretesskydd oavsett den administrativa ramen för rörelsen även om sekretesskyddet i praktiken torde vara likvärdigt.
Verksamheterna är också likartade på så sätt att det i allmänhet är fråga om långvariga affärsförbindelser med löpande
Förslag och överväganden
kontakter där uppgifterna successivt uppdateras. Förutsättningarna för att förvärva ingående kännedom om kunderna är speciella och kunderna har därför ett starkt intresse av att deras affärsmässiga eller personliga förhållanden inte röjs.
En författningsreglerad tystnadsplikt i försäkringsverksamhet skulle vidare medföra att sanktionerna för brott mot tystnadsplikten inte enbart skulle innebära skadeståndsskyldighet. Finansinspektionen skulle nämligen kunna ingripa i ett konkret fall mot ett försäkringsföretag som inte iakttar tystnadsplikten.
Det är inte möjligt att i svensk lagstiftning reglera den verksamhet som försäkringsgivare från andra länder inom Europeiska ekonomiska samarbetsområdet (EES) driver i Sverige. Bestämmelsen kommer alltså inte att gälla för sådana försäkringsgivare. Däremot bör bestämmelsen gälla för utländska försäkringsgivare från tredje land.
ilka är förpliktigade att iaktta sekretess?
Sekretesskravet är enligt förslaget riktat mot anställda och uppdragstagare. Varje anställd eller uppdragstagare som får del av enskildas hälso- och sjukvårdsuppgifter eller andra uppgifter av personlig eller ekonomisk karaktär måste således göra en egen prövning av om han eller hon i sin tur kan lämna uppgifterna vidare. Se vidare vad som anförts härom i avsnitt 6.1.1.
Enskildas hälsotillstånd eller andra förhållanden
Den föreslagna regleringen om tystnadsplikt bör omfatta alla uppgifter som rör försäkringskunds mellanhavanden med försäkringsföretaget, oavsett om de är dokumenterade eller inte. Det bör således råda såväl handlingssekretess som tystnadsplikt. Det kan vara frågan om hälso- och sjukvårdsuppgifter eller andra uppgifter av personlig eller ekonomisk karaktär.
Ds 2011:7 Förslag och överväganden
Tystnadsplikten för uppgiften består även efter det att försäkringsavtalet har upphört att gälla samt när försäkringsföretagets och kundens samtliga mellanhavanden är slutligt reglerade. Detsamma gäller för uppgifter som lämnats utan att något försäkringsavtal har slutits, t.ex. förhållanden rörande personer med vilka endast förhandlingar har förts. Det bör inte heller finnas någon tidsgräns för hur länge sekretess ska gälla.
Liksom i offentlighets- och sekretesslagen ingår i begreppet enskild såväl privatpersoner som juridiska personer. I detta sammanhang omfattas dock även offentligrättsliga subjekt.
Varje uppgift som ett försäkringsföretag kan ha om en kund i sekretesshänseende får prövas i sig. Den omständigheten att det anses vara behörigt att lämna ut en viss uppgift eller vissa uppgifter om en kund innebär inte att det är fritt fram att röja samtliga uppgifter som finns om kunden.
Redan av kundens avtalsförhållande med försäkringsföretaget följer ett förbud att utnyttja hemliga uppgifter. Detta bör tydliggöras i bestämmelsen om tystnadsplikt, se vidare vad som anförts under avsnitt 6.1.1.
Den föreslagna bestämmelsen kommer att omfatta en mängd information om kunder som finns hos försäkringsföretagen i vardagliga situationer, t.ex. i fråga om reglering av skador inom hem- och motorfordonsförsäkring.
I försäkringsföretag finns vidare uppgifter som till sin natur är känsliga, t.ex. om hälsa eller medlemskap i fackförening. Sådana uppgifter definieras som känsliga personuppgifter enligt personuppgiftslagen (1998:204) och behandlingen av sådana uppgifter är särskilt reglerad i personuppgiftslagen. I försäkringsföretagens verksamhet ingår att inhämta känsliga personuppgifter bl.a. för att det ska vara möjligt att bestämma premier och reglera skador. Även om sådana uppgifter måste anses ingå i uttrycket ”enskildas förhållanden” bör hälsouppgifter särskilt lyftas fram i bestämmelsen med anledning av att försäkringsföretagens verksamhet skiljer sig från övriga finansiella företag just i det avseendet.
Förslag och överväganden
När ska sekretess gälla?
Flertalet bestämmelser i den finansiella lagstiftningen innehåller rekvisit av innebörd att de aktuella uppgifterna inte får ”obehörigen röjas”. Det innebär att sekretessen inte är absolut eftersom inte varje utan bara obehörigt röjande av informationen är förbjudet. Tystnadsplikten har tre perspektiv. I vissa situationer innebär den en plikt att inte sprida uppgifter. Mot denna plikt står en skyldighet att i vissa fall bryta tystnadsplikten och lämna ut uppgifter. Därutöver finns det situationer när ett företag inte är skyldigt men väl har en rätt att göra avsteg från tystnadsplikten.
Vad som hittills avsetts med ”obehörigen röjas” har utvecklats i praxis och doktrin. När det gäller uppgifter om enskildas förhållanden som inte rör känsliga personuppgifter om t.ex. hälsotillstånd kan vägledning hämtas från den praxis som finns på bankområdet.
Eftersom det av de nya sekretessbestämmelserna inte föreslås närmare framgå vad som avses med ”obehörigen” finns det skäl att här ge viss vägledning för tillämpningen av bestämmelserna, särskilt när det gäller hälso- och sjukvårdsuppgifter och andra uppgifter som till sin karaktär är särskilt integritetskänsliga.
Obehörighetsrekvisitet innebär, precis som det omvända skaderekvisitet i 25 kap. 1 § offentlighets- och sekretesslagen om sekretess för personal inom den allmänna hälso- och sjukvården, ett mycket starkt sekretesskydd och en presumtion för att uppgifterna och informationen inte får lämnas ut. Däremot är det inte självklart att tolkningen av detta rekvisit ska stå i överensstämmelse med tolkningen av hälso- och sjukvårdssekretessen. Det beror på att sjukvården och försäkringsföretag vid tillämpningen av respektive regler om tystnadsplikt har skilda intressen att ta hänsyn till.
Det är vidare så att personuppgiftslagen innehåller regler till skydd för den enskildes integritet i samband med automatiserad behandling av personuppgifter.
Ds 2011:7 Förslag och överväganden
Till att börja med bör ett försäkringsföretags utlämnande av en uppgift om enskilds hälsotillstånd eller andra förhållanden anses tillåtet när det krävs för att företaget ska kunna fullgöra kundens uppdrag. När försäkringsföretaget exempelvis tar in sjukhusjournaler som både bolagets egna riskbedömare och medicinska rådgivare kan behöva ta del av, är det naturligtvis inte fråga om obehörigt röjande. Motsvarande gäller i fråga om skadereglering.
En kund bör vidare kunna lämna sitt utryckliga samtycke till att bolaget lämnar ut uppgifter om honom eller henne. Försäkringsföretagen använder sig i dag av fullmakter för att hämta in uppgifter från exempelvis vårdinrättningar och Försäkringskassan. En sådan fullmakt kan också omfatta medgivande till att företaget får lämna uppgifterna vidare till exempelvis ett återförsäkringsföretag. Sådana fullmakter bör anses godtagbara för att berättiga ett röjande, i vart fall så länge de tecknas i det konkreta fallet. Försäkringsföretaget kan dock aldrig begära av sina kunder att de generellt ska friskriva sig från tystnadsplikten. Det bör också noteras att regeringen i prop. 2009/10:241 har föreslagit regler för att förstärka integritetsskyddet på försäkringsområdet med sikte främst på formerna för inhämtande av hälsouppgifter från t.ex. hälso- och sjukvården. Regeringen föreslår att försäkringsföretag vid en ansökan om individuell personförsäkring endast får begära samtycke om det är nödvändigt för prövningen av ansökan. Vid skadereglering och vid anslutning till kollektiva försäkringar ska samtycke få begäras först när det har uppkommit ett behov i det enskilda fallet. Vidare införs krav på hur samtycket ska utformas liksom regler om informationsplikt för försäkringsföretaget i samband med att ett samtycke begärs.80
Det måste också vara tillåtet i viss utsträckning med utbyte av intern information inom försäkringsföretaget. En anställd bör kunna lämna uppgifter till bolagsledningen och tvärtom,
80Prop. 2009/10:241 antogs av riksdagen den 20 december 2010. Lagändringarna träder i kraft den 1 juni 2011.
Förslag och överväganden
eventuellt med vissa instruktioner, samt att uppgifter även bör kunna spridas inom ledningen och till revisorerna. Det bör härvid understrykas, särskilt när det gäller integritetskänsliga uppgifter, att det viktiga är att uppgifterna så långt det är praktiskt möjligt inte kan komma till kännedom för annan personal än den som har anledning att ta del av dem. Integritetskänsliga uppgifter bör bara få lämnas till den eller de avdelningar och till den personkrets där de behövs för verksamheten. Det är givetvis så att hanteringen av uppgifterna måste ske på ett tillfredsställande sätt och som ytterligare skydd finns personuppgiftslagens regler för automatiserade behandling av känsliga personuppgifter. I vissa fall kan det dock vara nödvändigt att andra än de som berörs direkt av handläggningen, exempelvis ledningen, tar del av informationen. En allmän spridning av information om kunderna inom ett försäkringsföretag bör ses som ett brott mot tystnadsplikten eftersom det i praktiken innebär att sekretessen upphör.
Dagens informationsteknologi medför att kunduppgifter rent tekniskt kan vara tillgängliga för ett mycket stort antal personer. Försäkringsföretaget får uppgifter om sina kunder för att de ska kunna utföra de tjänster som ingår i kundernas uppdrag. Därigenom skapas nya uppgifter som också kan kopplas till kunderna. Det kan dessutom finnas ett behov av uppgifterna i sådana delar av verksamheten som hanterar försäkringsföretagets redovisning och solvenskrav. En intern överföring av uppgifter för att personalen ska kunna utföra kundens uppdrag ska således inte ses som ett obehörigt röjande. Detta gäller oavsett om uppdraget har direkt samband med kundtjänst eller någon annan del av verksamheten.
En annan situation som berör försäkringsföretagets verksamhet är när försäkringsföretaget återförsäkrar sina risker hos återförsäkringsgivare. Frågan aktualiseras främst beträffande s.k. fakultativ återförsäkring, dvs. då avtal om återförsäkring ingås från fall till fall med avseende på enskilda risker och inte med avseende på hela försäkringsbestånd. Det kan då inte uteslutas att återförsäkringsgivaren måste ha möjlighet att ta del av
Ds 2011:7 Förslag och överväganden
direktförsäkringsföretagets underlag för riskbedömningen för att kunna meddela återförsäkring. När det gäller genetiska uppgifter konstaterade regeringen att det skulle föra för långt att ställa krav på fullmakt för utlämnandet. Däremot rekommenderades att så skulle ske och det konstaterades att sådana fullmakter redan förekom. De uppgifter som lämnas ut måste i vilket fall som helst vara relevanta för det aktuella återförsäkringsavtalet.81 Samma resonemang kan anföras generellt när det gäller känsliga personuppgifter.
Ett försäkringsföretag måste också kunna lämna ut upplysningar om företaget enligt lag är skyldigt att göra detta. Enligt 14 kap. 5 § försäkringsrörelselagen är vissa befattningshavare i ett försäkringsföretag skyldiga att lämna Finansinspektionen de upplysningar om verksamheten som inspektionen begär. Andra situationer då upplysningsskyldighet föreligger är skyldigheten att i samband med rättegång förete skriftlig handling som bevis, s.k. editionsföreläggande och ett försäkringsföretags skyldighet att på begäran från Försäkringskassan lämna de uppgifter som kassan behöver i ärendehandläggningen (se 110 kap. 39 § socialförsäkringsbalken). När en laglig plikt föreligger för försäkringsföretaget att lämna upplysningar om sina kunder bör försäkringsföretaget lämna ut kunduppgifter endast när det står klart att begäran om uppgifter ligger inom den angivna plikten och att uppgifterna avses bli använda på ett sådant sätt som den åberopade lagregeln anger. När det är fråga om särskilt integritetskänsliga uppgifter måste det anses befogat att ifrågasätta behovet av utlämnande av sådana uppgifter för det särskilda ändamålet.
Tystnadsplikten bör gälla också i förhållande till annat försäkringsföretag. Det bör finnas utrymme för ett försäkringsföretag att lämna ut en uppgift eller information till ett annat försäkringsföretag om det finns ett godtagbart intresse hos det bolaget att få del av informationen. Det kan också vara behövligt för att fullgöra kundens uppdrag om det rör sig om en
Förslag och överväganden
skadereglering där flera försäkringsföretag är inblandade. Det bör dock inte vara fråga om någon allmän rätt att låta olika förhållanden som rör enskilda försäkringstagare bli kända för ett annat försäkringsföretag. Ett exempel när det kan vara aktuellt att utbyta information mellan försäkringsföretag är när ett företag misstänker eller konstaterar att en kund gjort sig skyldig till kriminellt eller annat otillbörligt förfarande mot företaget.
Försäkringsföretag arbetar aktivt med att upptäcka och förebygga brottsliga angrepp bl.a. genom ett för branschen gemensamt register över skadeanmälningar (GSR), eftersom bedrägerier riktade mot sådana företag är vanligt förekommande. Enligt uppgift från försäkringsföretagen informeras kunderna om detta i samband med försäkringstecknande. Det bör noteras att Datainspektionen har genomfört en inspektion år 2010 för att kontrollera behandlingen av personuppgifter i GSR. Datainspektionen hade inte någon erinran mot själva behandlingen av personuppgifter.82 Samhället förutsätter också att arbete sker i syfte att upptäcka och förebygga brott.83 Det är inte omöjligt att misstänkta otillbörliga förfaranden också kan omfatta försäkringsärenden i vilka integritetskänsliga uppgifter behandlas. Vid hanteringen av sådana ärenden måste försäkringsföretagen särskilt noga överväga vilka uppgifter som kan lämnas ut och vilka uppgifter som, trots det allmännas eller andra försäkringsföretags intressen i saken, bör skyddas av sekretess. I en sådan situation när det i och för sig kan finnas godtagbara skäl för ett försäkringsföretag att lämna vissa upplysningar om enskildas förhållanden till ett annat bolag som rör t.ex. misstänkt brottslighet, får det förutsättas att bolagen har möjligheter att lämna sådana uppgifter utan att samtidigt lämna ut uppgifter om hälsotillstånd och andra särskilt integritetskänsliga uppgifter. Ett utlämnande av sådana uppgifter eller sådan information till andra försäkringsföretag eller till det allmänna för här berörda ändamål bör därför betraktas som ett
82 Se Datainspektionens beslut den 9 februari 2010 i ärende 410-2009. 83 Se exempelvis regeringens skrivelse 1996/97:49 s. 4 och Ds 1996:59 s. 30 och 31.
Ds 2011:7 Förslag och överväganden
obehörigt röjande. Om utelämnandet dock ses som ett led i en sådan författningsreglerad skyldighet att lämna upplysningar som berörts i det föregående är det givetvis inte fråga om ett obehörigt röjande.
Inte sällan är det så att banker driver försäkringsbolag i dotterbolag och försäkringsbolag bankrörelse i dotterbolag. Olika slag av finansiella tjänster förmedlas av företag i finansiella koncerner till andra företag i samma koncern. Hos företagen i en koncern finns det ett naturligt intresse att kunna erbjuda alla kunder i koncernen eller vissa kundgrupper tjänster utförda inom olika delar av koncernen (s.k. helkundsförhållande). För att en sådan samordning ska kunna ske måste vissa kunduppgifter lämnas mellan berörda koncernföretag. När det gäller spridning av information inom ett finansinstitut gäller att uppgifter inte får lämnas till andra i företaget än till de anställda som har ett behörigt intresse av uppgifterna. Med ett motsvarande synsätt går det att finna fungerande principer också i koncernförhållanden. Uppgifter om kunder får utnyttjas till befogade ändamål och i en modern finansiell verksamhet är marknadsföring ett sådant. Uppgiftsutbyte om namn och adress till berörda kunder måste således kunna lämnas mellan berörda koncernföretag för att uppnå samordning. Ett utbyte av uppgifter om förmögenhetsförhållanden eller om kundernas val av tjänster, för att sedan kunna välja ut vilka erbjudanden som ska riktas till en specifik kund, är mer känsligt i sekretesshänseende. Om uppgifterna bara används för att göra själva selekteringen och sedan återförs eller förstörs bör det inte anses obehörigt från sekretessynpunkt att de utbyts inom en koncern. Det kan inte heller anses obehörigt att utbyta kreditupplysningar mellan finansiellt verksamma koncerner. Banklagskommittén menade också att någon skillnad inte bör göras vid bedömning av sekretess i koncernförhållanden och sekretess inom banken. Även i koncernsammanhang är det fråga om att väga samman de intressen som finns (se SOU 1999:82 s. 112). Särskilt integritetskänsliga uppgifter om t.ex. hälsotillstånd torde dock inte få användas varken för marknadsföring eller som
Förslag och överväganden
bedömningsunderlag vid en kreditprövning. Sådana uppgifter bör endast få användas för sitt egentliga syfte och därutöver inte ges någon spridning.84
År 1974 infördes den reglering som innebär att personuppgift som anger att försäkringstagare har vidtagit dispositioner beträffande i framtiden utfallande försäkringsbelopp till förmån för annan inte får lämnas ut till denne. Departementschefen konstaterade att försäkringsföretagaren har ett starkt intresse av sekretesskydd för sådana förordnanden.85 Bestämmelsen som numera finns i 4 kap. 14 § försäkringsrörelselagen innehåller inte något obehörighetsrekvisit. Något utrymme för behörigt utlämnande finns med andra ord inte. Det är emellertid så att tystnadsplikten även i detta fall viker för en lagstadgad uppgiftsskyldighet. Bestämmelsen föreslås nu ersättas av den generella bestämmelsen om tystnadsplikt i försäkringsföretag. Det bör dock framhållas att utgångspunkten i en sådan situation även fortsättningsvis är att ett utelämnande i princip alltid är obehörigt.
Hanteringen av egendomsskador
Det har från försäkringsföretagen framförts en oro för att en lagfäst tystnadsplikt skulle innebära att den löpande kontakten med exempelvis en bilverkstad eller hantverkare skulle kunna försvåras. Rimligtvis har en skadeanmälan redan skett när en sådan kontakt tas med försäkringsföretaget, varför nödvändiga uppgifter i de flesta fall måste kunna lämnas ut för att försäkringsföretaget ska kunna fullgöra kundens uppdrag. Baserat på den information som handläggaren får från den som begär ut en uppgift torde han eller hon kunna avgöra om det är fråga om ett behörigt eller obehörigt utlämnande.
84 Jansson, s. 201-212. 85Prop. 1974:96 s. 8.
Ds 2011:7 Förslag och överväganden
Undantag från tystnadsplikt för kreditupplysningsändamål
Vid kontakt med företrädare från försäkringsföretag har framkommit att behov av att ta kreditupplysning på försäkringstagare kan förekomma. Av propositionen 2009/10:246 En ny försäkringsrörelselag framgår att låneförbudsreglerna i försäkringsrörelselagen inte utgör något hinder för ett försäkringsbolag att i enlighet med bestämmelser i försäkringsavtalen lämna lån mot säkerhet i försäkringsbrev. I en sådan situation kan det antas att försäkringsföretaget vill hämta in en kreditupplysning.
Vid införandet av 5 a § i kreditupplysningslagen framförde såväl Sveriges Försäkringsförbund som Finansinspektionen att bl.a. försäkringsföretag borde ingå i kretsen av företag som skulle omfattas av den nya bestämmelsen. Regeringen konstaterade emellertid att det saknades en författningsreglerad tystnadsplikt för försäkringsföretag och därmed fanns inte något författningsskydd mot fortsatt spridning av informationen. Regeringen aviserade dock att den avsåg att överväga om en lagfäst tystnadsplikt på försäkringsområdet borde införas. Skulle en sådan bestämmelse införas fanns det enligt regeringen inte längre något hinder mot att försäkringsbolagen skulle få ingå i den slutna användargruppen.86
Nu föreslås att det införs en generell tystnadsplikt på försäkringsområdet. För att i konsekvens med ovan nämnt resonemang föreslå ett undantag från denna tystnadsplikt för kreditupplysningsändamål, krävs emellertid enligt min mening en noggrann behovs- och konsekvensanalys. Eftersom den begränsade tid som stått till mitt förfogande för utförande av uppdraget inte har varit tillräcklig för en sådan analys, lämnar jag inte här något förslag om undantag från tystnadsplikten för detta ändamål.
Förslag och överväganden
Straffrättsligt ansvar
Lagrådet förordade i sitt remissyttrande avseende propositionen 2005/06:64 Genetisk integritet att den föreslagna tystnadsplikten skulle vara straffsanktionerad. Enligt Lagrådet framstod det inte som motiverat att brott mot tystnadsplikten, när det gäller den ofta integritetskänsliga information som var i fråga, skulle vara straffria. Det var enligt Lagrådet svårt att se någon grund för skadestånd annat än om brottet kunde ses som ett angrepp på den berörda personens frid eller ära och innefattade en allvarlig kränkning (se 2 kap. 3 § skadeståndslagen), vilket inte alltid behöver vara fallet. Lagrådet påpekade vidare att det inte heller var lätt att uppfatta hur Finansinspektionens tillsynsverksamhet skulle kunna skydda enskilda mot att information lämnas i strid med bestämmelserna om tystnadsplikt. Även riksdagen anförde att en bestämmelse om sekretess för genetisk undersökning och information på försäkringsområdet skulle vara straffsanktionerad (se 2005/06:SoU16 s. 23).
Såsom framgår av avsnitt 3.4.2 infördes sedermera bestämmelsen om sekretess i försäkringsföretag för uppgift om genetisk undersökning och genetisk information. I enlighet med vad Lagrådet förordat straffsanktionerades bestämmelserna. Således föreligger redan idag en straffsanktionering när det gäller förbudet att röja uppgift om genetisk undersökning och genetisk information.
Det ligger vidare i linje med promemorians uppdrag att det endast ska få förekomma väl motiverade skillnader i sekretessregleringen inom olika finansiella rörelser. Jag har genomgående funnit det mest ändamålsenligt att förena sekretessbestämmelserna med straffansvar. I försäkringsföretagens verksamhet finns också typiskt sett mycket integritetskänsliga uppgifter som väl motiverar att tystnadsplikten förenas med ett straffansvar (se vidare avsnitt 6.1.1). Jag anser därför sammanfattningsvis att den nya bestämmelsen om generell tystnadsplikt i försäkringsrörelselagen bör vara straffsanktionerad.
Ds 2011:7 Förslag och överväganden
Genom att inget undantag föreslås i bestämmelsen kan således straffansvar enligt 20 kap. 3 § brottsbalken för brott mot tystnadsplikt bli aktuellt.
Avslutningsvis erinras om att överträdelse av försäkringssekretessen liksom tidigare kan föranleda skadestånd för försäkringsföretaget (se avsnitt 4.7.4).
Följdändringar
I konsekvens med förslaget om införande av en generell bestämmelse om tystnadsplikt i försäkringsföretag bör de särskilda bestämmelserna om sekretess beträffande uppgift om förmånstagarförordnande och uppgift om genetisk undersökning eller genetisk information upphävas. Den särskilda straffbestämmelsen som är knuten till förbudet att lämna ut personuppgift till förmånstagare bör också den upphävas. Även fortsättningsvis gäller dock att försäkringsföretagens användning av all genetisk information sker inom den begränsade ramen för vad som är tillåtet på försäkringsområdet enligt den särskilda bestämmelsen i 2 kap. 2 § lagen om genetisk integritet m.m.
I nionde kapitlet försäkringsrörelselagen regleras försäkringsgrupper. Om t.ex. ett försäkringsbolag ingår i en koncern kan en försäkringsgrupp föreligga i försäkringsrörelselagens mening. I 11 § finns en särskild bestämmelse om tystnadsplikt för styrelseledamot eller annan befattningshavare som fullgör förpliktelser enligt nionde kapitlet. Styrelseledamoten eller annan befattningshavare hos ett företag som får kunskap om affärsförhållanden i ett företag eller hos en person som enligt 9 § ska lämna uppgifter, får inte obehörigen röja vad han eller hon fått veta och inte heller utnyttja kunskapen i strid med uppgiftslämnarens intresse. Enligt 12 § föreligger en uppgiftsskyldighet i samband med förundersökning och ett därtill kopplat meddelandeförbud förenat med straffansvar (13–14 §§).
Syftet med denna sekretess-
bestämmelse är att skydda sådan
information som mottas av det
företag som är uppgiftsskyldigt gentemot Finansinspektionen.
Förslag och överväganden
Liknande bestämmelser om tystnadsplikt finns för uppgifter som erhållits från andra företag i en finansiell företagsgrupp i 7 kap. 13 § kapitaltäckningslagen (2007:1371) eller en företagsgrupp som innehåller företag som driver verksamhet inom både försäkringssektorn och bank- och värdepapperssektorn i 6 kap. 7 § lagen (2006:531) om särskild tillsyn över finansiella konglomerat. Bestämmelserna utgör komplement till de särskilda bestämmelser om tystnadsplikt som gäller enligt sektorsbestämmelserna. För institut gäller redan sekretess för den beskrivna situationen enligt de särskilda rörelselagarna, se 1 kap. 10 § lagen om
bank- och finansieringsrörelse, 1 kap. 11 § lagen om
värdepappersrörelse, 4 kap. 4 § lagen om utgivning av elektroniska pengar, 2 kap. 19 § lagen om investeringsfonder och 3 kap. 12 § lagen om betaltjänster. Även om sekretess för den beskrivna situationen redan gäller enligt den föreslagna bestämmelsen om generell tystnadsplikt i försäkringsföretag bör bestämmelserna avseende företagsgrupper finnas kvar som ett komplement till den
generella bestämmelsen.
6.2.2. Uppgiftsskyldighet i samband med förundersökning
Förslag: Ett försäkringsföretag ska vara skyldigt att lämna ut
uppgifter om enskildas hälsotillstånd eller andra förhållanden till försäkringsföretaget, om det under en utredning enligt bestämmelserna om förundersökning i brottmål begärs av undersökningsledare eller om det i ett ärende om rättslig hjälp i brottmål på framställning av en annan stat eller en mellanfolklig domstol begärs av åklagare. En bestämmelse om detta tas in i försäkringsrörelselagen. Motsvarande bestämmelse förs in i 5 kap. gällande försäkringsgivare från tredje land i lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige.
Skäl för förslaget: När bestämmelsen om tystnadsplikt
infördes i försäkringsrörelselagen avseende genetisk information
Ds 2011:7 Förslag och överväganden
föreslogs inte några bestämmelser om uppgiftsskyldighet i brottsbekämpande syfte. Regeringen ansåg att frågan fick anstå till dess frågan om en generell sekretessbestämmelse för hela försäkringsområdet skulle övervägas.87 Det framhölls att möjligheter för polis och åklagare att genom straffprocessuella tvångsmedel få tillgång till uppgifter om enskildas förhållanden till bl.a. försäkringsföretag redan fanns.
Tillämpningen av bestämmelserna om tystnadsplikt har varierat genom åren, i vart fall hos olika finansiella aktörer. Inom bankområdet fanns tidigare en vacklande praxis där vissa bankföreträdare ansåg sig vara förhindrade att lämna ut uppgifter om andra än dem som var misstänkta, medan andra ansett sig oförhindrade att lämna motsvarande uppgifter, om uppgifterna har betydelse för förundersökningen.
I regeringens proposition 2002/03:139 Reformerade regler för bank- och finansieringsrörelse uppmärksammades dessa frågor. Regeringen ansåg den vacklande praxisen otillfredsställande, bl.a. mot bakgrund av att uppgifter från olika typer av institut ofta är av stor betydelse för utredningar om brott i allmänhet och om ekonomisk brottslighet i synnerhet.88 En åklagare eller polis som ville inhämta uppgifter i anledning av en förundersökning skulle enligt regeringen inte vara beroende av t.ex. den enskilda bankens inställning till om uppgifterna ska lämnas ut eller inte. Regeringen konstaterade vidare att det av ett tilläggsprotokoll till EU:s konvention om ömsesidig rättslig hjälp i brottmål från den 29 maj 2000 finns – utöver en allmän bestämmelse om att en ansökan inte får vägras på grund av banksekretess – en bestämmelse om att en medlemsstat åtar sig att lämna ut uppgifter om de transaktioner som skett på ett visst specifikt bankkonto.89 I propositionen föreslog därför regeringen en bestämmelse som föreskrev att banker och kreditmarknadsföretag var skyldiga att lämna ut uppgifter om enskildas förhållanden om det under en utredning enligt
87Prop. 2006/07:41 s. 19–20. 88Prop. 2002/03:139 s. 484–488. 89Prop. 2002/03:139 s. 486.
Förslag och överväganden
bestämmelserna om förundersökning i brottmål begärs av undersökningsledare eller om det i ett ärende om internationell rättslig hjälp i brottmål på framställning av en annan stat eller en mellanfolklig domstol begärs av åklagare (se 1 kap. 11 § lagen om bank- och finansieringsrörelse).
Regeringen konstaterade vidare att behovet för de brottsutredande myndigheterna att få uppgifter under en förundersökning eller i ett ärende om internationell rättslig hjälp i brottmål, framför allt vid utredning av ekonomisk brottslighet, inte bara gällde de uppgifter som finns hos ett kreditinstitut. De senaste årens utveckling på de finansiella marknaderna hade inneburit att nya kategorier av finansiella tjänster hade skapats samtidigt som skillnaderna mellan de olika formerna av finansiella aktörer hade minskat. Uppgifter som fanns hos ett annat finansiellt företag än ett kreditinstitut kunde självklart vara av lika stort värde för de brottsutredande myndigheterna som om uppgifterna hade funnits hos ett kreditinstitut. Det noterades vidare att i förklaranderapporten till det ovan nämnda tilläggsprotokollet är medlemsstaterna överens om att uttrycket ”banksekretess” ska tolkas i vid mening med beaktande av den gemenskapslagstiftning som är tillämplig på den finansiella sektorn. Enligt den bedömning som regeringen gjorde borde därför bestämmelserna om uppgiftsskyldighet föras in i samtliga de lagar i vilka det fanns bestämmelser om sekretess eller tystnadsplikt för den finansiella verksamheten.
De skäl som regeringen anförde i propositionen 2002/03:139 om att det inte bör råda några tvivel om när uppgifter kan lämnas under en förundersökning eller i anledning av ett ärende om internationell rättslig hjälp i brottmål gör sig gällande även för ett försäkringsföretag. En uppgiftsskyldighet motsvarande tystnadsplikten om enskildas förhållanden till företagen bör därför införas i försäkringsrörelselagen för försäkringsföretag. Om det inte införs en bestämmelse om uppgiftsskyldighet, samtidigt som det finns en sådan bestämmelse för många andra aktörer på den finansiella marknaden, skulle det skapa tveksamhet om vad som gäller. Det skulle i värsta fall kunna leda
Ds 2011:7 Förslag och överväganden
till att bestämmelsen om tystnadsplikt ges olika innebörd beroende på från vilket företag ett utlämnande av uppgifter begärs.
Uppgifter om enskildas hälsotillstånd och speciellt uppgifter om genetisk undersökning eller genetisk information måste typiskt sett anses vara mer integritetskänsliga än uppgifter om t.ex. ekonomiska förhållanden. Även om det i förevarande situation är fråga om en laglig skyldighet att lämna ut uppgifter måste ändå behovet av utlämnande av särskilt integritetskänsliga uppgifter för det särskilda ändamålet ändå kunna ifrågasättas eftersom sådana uppgifter sällan torde erfordras i den brottsbekämpande verksamheten.
Den nya bestämmelsen om uppgiftsskyldighet medför följdändringar i 5 kap. 10 § lagen om internationell rättslig hjälp i brottmål.
6.2.3. Meddelandeförbud och ansvar
Förslag: Bestämmelserna om uppgiftsskyldighet kombineras
med bestämmelser om meddelandeförbud och om straff för den som bryter mot meddelandeförbudet. En bestämmelse om detta tas in i försäkringsrörelselagen. Motsvarande bestämmelser förs in i 5 kap. gällande försäkringsgivare från tredje land i lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige.
Skäl för förslaget: I de andra lagarna på finansmarknads-
området har meddelandeförbudet förenats med en straffsanktion. För att understryka vikten av att ett meddelandeförbud iakttas och för att behandla de olika förbud som avser brottsutredande verksamhet på samma sätt bör även det meddelandeförbud som nu föreslås vara förenat med en straffsanktion. Påföljden bör även i detta fall vara böter.
Förslag och överväganden
Bestämmelserna om meddelandeförbud och straffansvar bör ges samma utformning som i de andra lagarna på finansmarknadsområdet (se prop. 2004/05:144).
6.2.4. Rätten att meddela och offentliggöra uppgifter
Förslag: Den tystnadsplikt som föreslås gälla för uppgifter som
försäkringsföretag och utländska försäkringsgivare från tredje land inhämtar om enskildas hälsotillstånd ska ha företräde framför rätten att meddela och offentliggöra uppgifter.
Skälen för förslaget: Med rätten att meddela och
offentliggöra uppgifter avses de rättigheter som följer av 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen. Enligt 1 kap. 1 § andra stycket tryckfrihetsförordningen står det varje svensk medborgare fritt att, med iakttagande av bestämmelserna i den förordningen, i tryckt skrift yttra sina tankar och åsikter, offentliggöra allmänna handlingar samt meddela uppgifter och underrättelser i vilket ämne som helst. På motsvarande sätt har varje svensk medborgare enligt 1 kap. 1 § yttrandefrihetsgrundlagen rätt att i radio eller TV eller i ett annat medium som omfattas av den grundlagen offentligen uttrycka tankar, åsikter och känslor och i övrigt lämna uppgifter i vilket ämne som helst.
Enligt 1 kap. 1 § tredje stycket tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen står det vidare var och en fritt att lämna uppgifter i vilket ämne som helst till de personkategorier och organ som anges i de sistnämnda bestämmelserna för publicering i de medier som de båda grundlagarna omfattar (den s.k. meddelarfriheten). Rätten att meddela och offentliggöra uppgifter är således ett vidare begrepp än meddelarfrihet och innefattar, förutom rätten att lämna uppgifter till någon annan för publicering eller på något annat sätt medverka till någon annans publicering, också rätten att
Ds 2011:7 Förslag och överväganden
själv, som ansvarig enligt grundlagarnas bestämmelser om ensamansvar, offentliggöra uppgifter.
Rätten att meddela och offentliggöra uppgifter enligt 1 kap. § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen har som huvudregel företräde framför författningsreglerad tystnadsplikt. I ett antal fall har dock bestämmelser om tystnadsplikt företräde framför rätten att meddela och offentliggöra uppgifter. Vissa av dessa situationer är reglerade direkt i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Där anges vidare att det inte är tillåtet att med stöd av rätten att meddela och offentliggöra uppgifter uppsåtligen åsidosätta en tystnadsplikt i de fall som anges i en särskild lag. Den särskilda lag som avses är offentlighets- och sekretesslagen (se bl.a. 13 och 44 kap. i den lagen).
I 44 kap. offentlighets- och sekretesslagen finns bestämmelser som reglerar i vilken mån sådan tystnadsplikt som följer av bestämmelser i andra författningar än den lagen inskränker rätten att meddela och offentliggöra uppgifter. Inom enskilt bedriven hälso- och sjukvård gäller som tidigare nämnts tystnadsplikt för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden (6 kap. 12–14 §§ patientsäkerhetslagen [2010:659]). Denna tystnadsplikt har företräde framför rätten att meddela och offentliggöra uppgifter (44 kap. 3 § 1 offentlighets- och sekretesslagen). Den tystnadsplikt som gäller för motsvarande uppgifter inom den offentligt bedrivna hälso- och sjukvården har också i de flesta fall företräde framför rätten att meddela och offentliggöra uppgifter (25 kap. 1 1§ och 18 § andra stycket offentlighets- och sekretesslagen).
Det saknas anledning att hantera uppgifter om en enskilds hälsotillstånd annorlunda när de har lämnats till ett försäkringsföretag inom ramen för ett försäkringsavtal.
Den tystnadsplikt som föreslås gälla för försäkringsföretag och utländska försäkringsgivare från tredje land för uppgifter om enskildas hälsotillstånd bör således inskränka rätten att meddela och offentliggöra uppgifter.
7. Förslagens konsekvenser
7.1. Allmänt
I promemorian föreslås bestämmelser om tystnadsplikt för försäkringsföretag och utländska försäkringsgivare från tredje land. Vidare föreslås en harmonisering av befintliga regler om tystnadsplikt inom de finansiella företagen, vilket bl.a. innebär att brott mot tystnadsplikten straffsanktioneras i vissa fall.
7.2. Konsekvenser för konsumenterna
Försäkringsföretagens och bankernas verksamhet förutsätter inhämtande av olika uppgifter om kunderna av såväl ekonomisk som personlig karaktär. Dessa verksamheter är också likartade på så sätt att det ofta är fråga om långvariga affärsförbindelser med fortlöpande kontakter där uppgifterna om kunderna successivt uppdateras. Det är onekligen så att försäkringsföretagen och bankerna har speciella förutsättningar att få ingående kännedom om sina kunder. Såväl bank- som företagskunderna har således ett starkt intresse av att deras förhållanden inte röjs för obehöriga. Försäkringsföretagen iakttar redan idag utan direkt stöd av lag en tystnadsplikt gentemot sina kunder. Införandet om en generell bestämmelse om tystnadsplikt på försäkringsområdet skulle emellertid klargöra för allmänheten och försäkringskunderna att försäkringsföretagen, liksom
Förslagens konsekvenser
bankerna, har en tystnadsplikt. Detta skulle bidra till att upprätthålla allmänhetens förtroende för försäkringsföretagen. För den enskilde konsumenten, men givetvis också för företagen, är det betydelsefullt att behandlingen av inhämtade uppgifter sker på ett betryggande sätt genom iakttagande av lagstiftning och inte enbart genom en frivilligt påtagen tystnadsplikt.
Att reglerna föreslås få en enhetlig utformning är gynnsamt ur ett konsumentperspektiv eftersom det finns ett befogat intresse av att få samma sekretesskydd oavsett den administrativa ramen för den finansiella rörelsen.
7.3. Konsekvenser för de finansiella företagen
Redan idag har försäkringsföretagen upparbetade rutiner och interna skriftliga regler när det gäller tystnadsplikt och hantering av personuppgifter. Det kan inte uteslutas att de föreslagna bestämmelserna om tystnadsplikt i någon mån kan medföra konsekvenser i form av ökat administrativt arbete, exempelvis genom översyn och omarbetning av olika riktlinjer till de anställda.
Harmoniseringsförslagen i övrig finansiell verksamhet torde även de kunna medföra konsekvenser i form av ökat administrativt arbete enligt ovan.
7.4. Konsekvenser för myndigheter
Det ankommer redan på Finansinspektionen att utöva tillsyn över hur företagen tillämpar de föreslagna bestämmelserna.
Eventuella ekonomiska konsekvenser avseende införandet av en ny bestämmelse om tystnadsplikt i försäkringsföretag finansieras inom befintliga ramar.
Ds 2011:7 Förslagens konsekvenser
Det är ytterst ovanligt att åtal väcks för brott mot finansiell sekretess. Förslagen torde därför inte heller innebära något resursbehov hos de brottsutredande myndigheterna.
7.5. Konsekvenser för domstolarna
Med hänsyn till att åtal för brott mot finansiell sekretess är sällsynta torde de föreslagna lagändringarna inte påverka domstolarnas arbetsbelastning i en sådan omfattning att behov av resurstillskott är motiverat.
Det är heller inte troligt att antalet mål i allmän förvaltningsdomstol skulle öka med anledning av Finansinspektionens tillsyn med avseende på sekretessförhållandena.
8. Författningskommentar
8.1. Förslag till lag om ändring i lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige
5 kap. 15 §
Paragrafen reglerar tystnadsplikt hos en utländsk försäkringsgivare från tredje land. Beträffande bestämmelsens innebörd hänvisas till författningskommentaren till 4 kap. 14 § försäkringsrörelselagen.
Förslaget har behandlats i avsnitt 6.2.1.
Uppgiftsskyldighet, meddelandeförbud och ansvarsbestämmelse
5 kap. 15 a–c §
Förslagen har behandlats i avsnitt 6.2.2 och 6.2.3.
Bestämmelserna, som är nya, reglerar uppgiftsskyldighet, meddelandeförbud och ansvar för brott mot meddelandeförbud enligt 15 b § hos en utländsk försäkringsgivare från tredje land. Beträffande bestämmelsernas innebörd hänvisas till författningskommentaren till 4 kap.15–16 a §§försäkringsrörelselagen.
Författningskommentar Ds 2011:7
8.2. Förslag till lag om ändring i lagen (1998:1479) om kontoföring av finansiella instrument
8 kap. 2 §
Paragrafen har delvis formulerats om för att uppnå en mer enhetlig reglering av tystnadsplikten inom de finansiella företagen.
Sekretessen riktade sig enligt tidigare lydelse endast mot den som är eller har varit anställd. Vad gäller rekvisiten anställd eller uppdragstagare hänvisas till vad som anförts härom i avsnitt 6.1.1.
Vad gäller rekvisiten ”obehörigen röja” är inte någon ändring i sak avsedd utan regeln är liksom tidigare avsedd att tillämpas på samma sätt som regeln om banksekretess i lagen (2004:297) om bank- och finanseringsrörelse.
Paragrafen är liksom tidigare begränsad till uppgifter som har registrerats i ett avstämningsregister eller som har lämnats till värdepappersförvararen eller institutet av en förvaltare.
Förslaget har behandlats i avsnitt 6.1.2.
8.3. Förslag till lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål
5 kap. 10 §
En hänvisning till de nya bestämmelserna om uppgiftsskyldighet i 4 kap. 15 § försäkringsrörelselagen (2010:2043) och 5 kap. 15 a § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige har tillkommit.
Förslaget har behandlats i avsnitt 6.2.2.
Ds 2011:7 Författningskommentar
8.4. Förslag till lag om ändring i lagen (2002:149) om utgivning av elektroniska pengar
4 kap. 4 §
Förslaget, som behandlats i avsnitt 6.1.3, vad gäller tystnadspliktens lagtekniska utformning, motsvarar förslaget i Ds 2010:27.
Genom att undantaget från straffansvar i paragrafens andra stycke föreslås tas bort kommer ansvar för brott mot den tystnadsplikt som föreskrivs i första stycket att följa enligt 20 kap. 3 § brottsbalken. Beträffande bestämmelsens innebörd i det avseendet hänvisas till författningskommentaren till 1 kap. 10 § lagen om bank- och finansieringsrörelse.
8.5. Förslag till lag om ändring i lagen (2004:46) om investeringsfonder
2 kap. 19 §
Paragrafen har ändrats på så sätt att kravet på tystnadsplikt är riktat mot anställda och uppdragstagare. För vägledning i denna del hänvisas till avsnitt 6.1.1.
Vad gäller rekvisitet ”obehörigen röja” är inte någon ändring i sak avsedd utan regeln ska tillämpas som tidigare.
Ett förbud att utnyttja uppgifter har vidare införts efter förebild från bl.a. lagen (2007:528) om värdepappersmarknaden. Ett utnyttjandeförbud korresponderar också med motsvarande straffbestämmelse i brottsbalken som ju inte endast innehåller förbud mot röjande utan också ett förbud mot olovligt utnyttjande av hemlig uppgift. Även ett olovligt utnyttjande utan att något röjande äger rum är alltså förbjudet.
Bestämmelsen har behandlats i avsnitt 6.1.4.
Författningskommentar Ds 2011:7
8.6. Förslag till lag om ändring i lagen (2004:297) om bank- och finansieringsrörelse
1 kap. 10 §
Paragrafens första stycke har ändrats på så sätt att det tydligt framgår att kravet på tystnadsplikt är riktat mot anställda och uppdragstagare. Det framgår också att tystnadsplikten dessutom gäller för tidigare anställda och uppdragstagare. I den krets som tystnadsplikten riktar sig mot ingår VD, styrelseledamöter och revisorer.
Vidare har förtydligats att tystnadsplikten även innebär ett förbud att utnyttja uppgifterna. Även ett olovligt utnyttjande utan att något röjande äger rum är alltså förbjudet.
Ändringarna i paragrafen avseende tystnadspliktens utformning är i huvudsak lagtekniska och någon ändring i sak är inte avsedd. Det förutsätts därför att tillämpningen bygger vidare på den litteratur och de fasta sedvänjor som utvecklats kring de nuvarande bestämmelserna. För en redogörelse av huvuddragen kring obehörighetsbegreppet och ”enskildas förhållande till kreditinstitut” hänvisas till prop. 2002/03:139 s.476-479. För en utförligare redovisning hänvisas till Per-Ola Janssons
Banksekretess och annan finansiell sekretess.
Tredje stycket i paragrafen som föreskrev undantag från straffansvar har upphävts. Genom att undantaget från straffansvar tagits bort kommer således ansvar för brott mot de nya bestämmelserna om tystnadsplikt att följa enligt 20 kap. 3 § brottsbalken.
Enligt första stycket i 20 kap. 3 § brottsbalken krävs för ansvar uppsåt. Uppsåtet ska omfatta de objektiva rekvisiten men också det förhållandet att den röjda uppgiften inte får lämnas ut i det aktuella fallet (prop. 1979/80:2 del A s. 404). Den röjande ska alltså ha uppsåt omfattande såväl att hon eller han ska hålla uppgiften hemlig som till att denna skyldighet åsidosätts. Enligt andra stycket är oaktsamhet tillräcklig för ansvar. Missförstånd av
Ds 2011:7 Författningskommentar
reglerna om tystnadsplikt torde kunna tillmätas betydelse för frågan om straffbar oaktsamhet förelegat. Vidare stadgas i andra stycket straffrihet för oaktsamt brott där fallet är ringa. Huruvida det är ringa ska avgöras med hänsyn till samtliga omständigheter i det konkreta fallet (prop. 1979/80:2 del A s. 404). Omständigheter som kan ha betydelse för den bedömningen är vilken uppgift som har röjts och vilken skada detta har medfört. En annan faktor vid bedömningen kan vara vilka krav som rimligen kan ställas på tillämparen med hänsyn till hans eller hennes möjligheter att bedöma den rättsliga situationen. I fall som inte kunnat förutses kan det te sig mindre rimligt att utkräva ansvar för ett oaktsamt röjande av sekretessbelagd uppgift (nämnda prop. s. 403).90
Bestämmelsen behandlas utförligt i avsnitt 6.1.1.
8.7. Förslag till lag om ändring i lagen (2007:528) om värdepappersmarknaden
1 kap. 11 §
Genom att ersätta ”någon annans affärsförhållanden eller personliga förhållanden” med ”enskildas förhållanden” avses ingen ändring i sak.
Förslaget har behandlats i avsnitt 6.1.5.
8.8. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
44 kap. 5 §
Ändringen i paragrafen innebär att den tystnadsplikt avseende enskildas hälsotillstånd som följer av de nya bestämmelserna i
90 Holmqvist m.fl., Brottsbalken. En kommentar, s. 20:86-87.
Författningskommentar Ds 2011:7
försäkringsrörelselagen (2010:2043) och lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige inskränker meddelarfriheten.
Bestämmelsen behandlas även i avsnitt 6.2.4.
8.9. Förslag till lag om ändring i lagen (2010:751) om betaltjänster
3 kap. 12 §
Genom att undantaget från straffansvar i paragrafens andra stycke föreslås tas bort kommer ansvar för brott mot den tystnadsplikt som föreskrivs i första stycket att följa enligt 20 kap. 3 § brottsbalken. Beträffande bestämmelsens innebörd i det avseendet hänvisas till författningskommentaren till 1 kap. 10 § lagen om bank- och finansieringsrörelse.
Bestämmelsen behandlas även i avsnitt 6.1.6.
8.10. Förslag till lag om ändring i försäkringsrörelselagen (2011:000)
Tystnadsplikt
4 kap. 14 §
I första stycket framgår att sekretesskravet är riktat mot anställda och uppdragstagare. Det framgår också att tystnadsplikten dessutom gäller för tidigare anställda och uppdragstagare. I den krets som tystnadsplikten riktar sig mot ingår VD, styrelseledamöter och revisorer. För ytterligare vägledning i denna del hänvisas till avsnittet Ansvariga för tystnadspliktens upprätthållande i avsnitt 6.1.1.
Ds 2011:7 Författningskommentar
Vidare framgår tydligt att tystnadsplikten även innebär ett förbud att utnyttja uppgifterna. Även ett olovligt utnyttjande utan att något röjande äger rum är alltså förbjudet.
Tystnadsplikten i bestämmelsen omfattar alla uppgifter som rör försäkringskunds mellanhavanden med försäkringsföretaget. Det kan vara frågan om hälso- och sjukvårdsuppgifter eller andra uppgifter av personlig eller ekonomisk karaktär. Sådan uppgift eller information omfattas alltså av sekretessen oavsett om den är dokumenterad eller inte.
Det är bara obehörigt röjande av uppgift eller information som är otillåtet. För vägledning i denna del hänvisas till avsnitt 6.2.1 När det rör sig om uppgifter av ekonomisk karaktär förutsätts en analog tillämpning av banksekretessen kunna göras.
Den som uppsåtligen bryter mot bestämmelsen kan dömas för brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken till böter eller fängelse i högst ett år. Den som begår gärningen av oaktsamhet kan dömas till böter. I ringa fall ska inte dömas till ansvar. Se vidare författningskommentaren till 1 kap. 10 § lagen om bank- och finansieringsrörelse.
I andra stycket erinras om att i det allmännas verksamhet tillämpas istället bestämmelserna i offentlighets- och sekretesslagen. Det innebär bl.a. att Finansinspektionen inte inordnas under den aktuella sekretessen utan är underkastad regleringen i offentlighets- och sekretesslagen.
Bestämmelsen har behandlats i avsnitt 6.2.1.
Uppgiftsskyldighet, meddelandeförbud och ansvarsbestämmelse
4 kap. 15–16 a §
Förslagen har behandlats i avsnitt 6.2.2 och 6.2.3. Motsvarande bestämmelser finns bl.a. i 1 kap. 11–13 §§ lagen om bank- och finansieringsrörelse och 1 kap. 12–14 §§ lagen om värdepappersmarknaden. För utförligare vägledning se prop. 2004/05:144.
Författningskommentar Ds 2011:7
Uppgiftsskyldigheten omfattar uppgifter om ”enskildas hälsotillstånd eller om andra förhållanden till institutet”. Med detta uttryckssätt avses detsamma som i bestämmelsen om tystnadsplikt i 14 §. Det ligger dock i sakens natur att uppgifter om enskildas hälsotillstånd sällan torde erfordras i den brottsbekämpande verksamheten.
I fråga om meddelandeförbudet i 16 a § kan framhållas att den tystnadsplikt som följer med ett sådant förbud inte inskränker den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen.
Den som uppsåtligen eller av grov oaktsamhet bryter mot ett meddelandeförbud enligt 16 § kan fällas till ansvar för detta. Påföljden är böter.