Offentleglova gir allmennheten rettskrav på innsyn i alle dokumentene i et forvaltningsorgan. Denne innsynsretten er ansett som så viktig i et liberalt demokrati at vi har grunnlovsfestet den. Men offentleglova gjelder ikke bare for klassiske forvaltningsorganer som departementer, direktorater og kommuner. Loven gjelder også for aksjeselskaper og stiftelser, så fremt det offentlige har den dominerende innflytelsen over selskapet og selskapet ikke hovedsakelig driver forretningsvirksomhet i direkte konkurranse med og på samme vilkår som private. Hvorvidt offentleglova gjelder for slike virksomheter beror dermed på en konkret vurdering, og svaret er ikke alltid opplagt. Bare i fjor ble det avsagt to dommer der det var uklart om kommunalt eide energiselskap var omfattet av offentleglova, og vi i Hjort får stadig spørsmål fra offentlig eide selskaper om denne problemstillingen.
For offentlig eide selskaper er det ofte krav om og forventninger fra pressen og andre om at selskapet skal følge offentleglova. Dette er gjerne begrunnet i behov for innsyn i måten disse selskapene forvalter felleskapets midler på. Noen ganger kan det også være fastsatt i vedtektene til selskapet at de skal følge offentleglova, for eksempel fordi kommunen som eier ønsker at selskapet skal praktisere samme åpenhet som kommunen ellers. Dette er i utgangspunktet gode intensjoner, og det er lett å forstå ønsket om åpenhet. Men risikoen ved å følge offentleglova uten å være forpliktet til det, kan være stor. Risikoen heter GDPR (EUs personvernforordning).
Artikkel 86 i GDPR inneholder en særbestemmelse som løser spørsmålet om hvordan reglene om personopplysningsvern forholder seg til nasjonale regler om allmennhetens innsyn. Kort oppsummert gir bestemmelsen adgang til å utlevere personopplysninger så lenge dette skjer i samsvar med offentleglova. Er virksomheten omfattet av offentleglova, vil utlevering av personopplysninger med hjemmel i offentleglova aldri være i strid med GDPR. Men dette forutsetter at virksomheten rettslig sett er omfattet av offentleglova. GDPR artikkel 86 gjelder ikke for virksomheter som frivillig velger å følge offentleglova.
Velger man å følge offentleglova uten å være rettslig forpliktet til det, må virksomheten ha et annet behandlingsgrunnlag. Behandlingsgrunnlagene i GDPR artikkel 6 nr. 1 bokstav c og e, jf. nr. 3, er ikke aktuelle, da disse forutsetter at behandlingen har grunnlag i nasjonal rett. Behandlingsgrunnlagene i GDPR artikkel 6 nr. 1 a, b og d (samtykke, avtale og vitale interesser), er også lite aktuelle for utlevering av dokumenter til allmennheten. Dette betyr at virksomheter som ikke er omfattet av offentleglova, i praksis bare kan utlevere personopplysninger hvis det er nødvendig av hensyn til en berettiget interesse virksomheten har, og som veier tyngre enn hensynet til interessene til den personen opplysningene gjelder. Hvis virksomheten har valgt å følge offentleglova, er det all grunn til å tro at denne avveiningen ikke er gjort. Virksomheten risikerer da å ha gitt ut personopplysninger i strid med GDPR.
Konsekvensen av et slikt brudd kan være at virksomheten blir pålagt overtredelsesgebyr fra Datatilsynet. Østre Toten kommune fikk for eksempel i januar 2022 et overtredelsesgebyr på kr. 4 000 000, etter at dokumenter som inneholdt personopplysninger om kommunens innbyggere kom på avveie etter et hacker-angrep.
De virksomhetene som frivillig har valgt å følge offentleglova, for eksempel fordi eierkommunen har fastsatt det i vedtektene, bør snarest sørge for å få en rettslig avklaring på om de virkelig er omfattet av loven. I motsatt fall risikerer virksomheten å (fortsette å) bryte personvernregelverket.