Är befintlig sekretessreglering tillräcklig?

Bedömning: Befintlig sekretessreglering är inte tillräcklig för att

möta direktivets krav på skydd av anmälares identitet enligt artikel 5.3 i UTP-direktivet. Befintlig sekretessreglering bedöms däremot vara tillräcklig för att möta direktivets krav på skydd av alla andra uppgifter.

Förslag: Särskilda bestämmelser om skydd för uppgift i en

anmälan som kan avslöja anmälarens identitet ska införas i offentlighets- och sekretesslagen.

Det kan inledningsvis konstateras att artikel 5.3 gör skillnad på skydd för anmälarens identitet och skydd för ”alla andra uppgifter”. Det står klart att direktivets krav innebär att direkta och indirekta uppgifter om en anmälares identitet ska skyddas. Vad som avses med ”alla andra uppgifter” är enligt utredaren uppgifter om affärs- och driftsförhållanden (som inte kan avslöja anmälarens identitet). Vidare är formuleringen ”om den klagande så begär ” ur svensk synvinkel något okonventionell, eftersom det framstår som att det är den potentiellt skadelidande anmälaren, och inte tillsyns- myndigheten, som ska bedöma vilka uppgifter som kräver sekretesskydd.

Frågan är om direktivets krav i artikel 5.3 på skydd för anmälares identitet respektive skydd för alla andra uppgifter kan tillgodoses genom befintlig sekretessreglering, eller om det behövs särskilda sekretessbestämmelser.

Det finns i offentlighets- och sekretesslagen (2009:400), OSL, några få exempel på sekretessbestämmelser där absolut sekretess ska gälla för de uppgifter som lämnas, om den som lämnar uppgifterna begär det. Dessa bestämmelser återfinns på områdena internationellt samarbete avseende civil sjötrafikövervakning m.m. (17 kap. 7 §

Ds 2019:19 Sekretess

andra stycket OSL), samarbete inom EU avseende beskattning (17 kap. 7 a § andra stycket OSL) och sjöförklaringar och andra utredningar (29 kap. 13 § första stycket OSL). Den krets som enligt nämnda bestämmelser kan begära sekretess är snäva (medlemsstat, kommissionen respektive fartygets befälhavare eller redare). När det gäller UTP-direktivet är kretsen som kan göra en anmälan som ovan konstaterat inte begränsad.

I 30 kap. OSL finns bestämmelser som reglerar tillsyn avseende näringslivet. Sekretess i Konkurrensverkets tillsyns- och utrednings- verksamhet regleras bl.a. i 30 kap. 1 §. Enligt bestämmelsens första punkt gäller sekretess för enskilds affärs- eller driftsförhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs. Bestämmelsen är således försedd med ett rakt skaderekvisit. Absolut sekretess gäller enligt första stycket 2 samma paragraf för uppgift om andra ekonomiska eller personliga förhållanden än som avses i första stycket 1 för den som trätt i affärsförbindelse eller liknande förbindelse med den som är föremål för myndighetens verksamhet. Det är utredarens bedömning att i normalfallet torde varken första eller andra punkten kunna användas för att dölja en anmälares identitet, även om skaderisk skulle anses förekomma. Uppgiften om identiteten utgör till sin natur varken ett affärs- eller drifts- förhållande. Följaktligen har också i OSL 30 kap. 3 § införts en särskild regel om skydd för anmälare i vissa typer av konkurrensärenden.

I 30 kap. 23 § OSL finns huvudregeln om sekretess i statlig tillsynsverksamhet. Eftersom bestämmelsen är utformad på motsvarande sätt som 30 kap. 1 § OSL kan det sammanfattningsvis konstateras att ingen av bestämmelserna erbjuder tillräckligt sekretesskydd i förhållande till de krav som UTP-direktivet uppställer på skydd för anmälarens identitet.

Inte heller i övrigt finns enligt utredaren någon befintlig reglering i OSL som kan möta direktivets krav på skydd för anmälarens identitet. Detta är utredarens bedömning oavsett vilken myndighet som utpekas som tillsynsmyndighet (se vidare härom i kapitel 9).

Särskilda bestämmelser om skydd även för anmälares identitet bör därför införas i en helt ny bestämmelse i OSL.

I sammanhanget finns anledning att titta närmare på bestämmelsen i 30 kap. 23 a § OSL, som avser absolut sekretess i statlig myndighets tillsynsverksamhet över efterlevnaden av EU-

Sekretess Ds 2019:19

förordningen om uppgifter som ska åtfölja överföringar av medel, penningtvättslagen och föreskrifter som har meddelats med stöd av den lagen. Bestämmelsen genomför bl.a. artikel 61.2 e i det s.k. fjärde penningtvättsdirektivet.8 _{Bestämmelsen i 30 kap. 23 a § OSL är i sin}

tur utformad med 30 kap. 4 b § OSL som förebild, en bestämmelse som genomför artikel 71.2 d i det s.k. kapitaltäckningsdirektivet.9

Nämnda artiklar i penningtvätts- respektive kapitaltäcknings- direktivet stadgar att det ska finnas: ”Tydliga regler som under alla omständigheter ser till att konfidentialiteten för den person som anmäler överträdelsen garanteras, såvida inte offentliggörande krävs i enlighet med nationell rätt i samband med ytterligare utredningar eller efterföljande rättsliga förfaranden.” Artiklarna har vid genomförandet i svensk rätt tolkats som ett krav på absolut sekretess. Bestämmelsen i 30 kap. 23 a § OSL kan enligt utredaren tjäna som förebild vid utformandet av en ny sekretessbestämmelse beträffande skydd för anmälares identitet enligt artikel 5.3 i UTP- direktivet, se följande avsnitt.

När det gäller UTP-direktivets krav på skydd för ”alla andra uppgifter” gör utredaren en annan bedömning. Direktivet gör som inledningsvis konstaterat skillnad på skydd för anmälarens identitet och skydd för ”alla andra uppgifter”.

Redan befintliga sekretessregler i tillsynsverksamhet ger enligt utredarens bedömning ett lämpligt skydd för ”alla andra uppgifter”. Detta innebär att den befintliga regleringen i 30 kap. 23 § OSL tillsammans med föreskrifterna i 9 § offentlighets- och sekretessförordningen (2009:641), OSF, kommer att vara tillämplig avseende dessa uppgifter. Jfr regeln i 7 kap. 3 § OSL om konkurrens mellan sekretessbestämmelser. Om Konkurrensverket utses till tillsynsmyndighet (se utredarens överväganden i kapitel 9) torde motsvarande sekretesskydd föreligga enligt 30 kap. 1 § OSL. Det finns inget som hindrar att redan den som inger en anmälan kan ange att det bör vara sekretess för uppgifter om affärs- och drifts- 8 _{Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för} att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG.

9 _{Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet at} utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappersföretag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG.

Ds 2019:19 Sekretess

förhållanden. Även om detta givetvis är oförbindande för myndigheten kan det vara en indikation på att sekretess bör gälla.