Datatilsynets referanse: 2003/2273 FBB/-

KLAGESAK 2005-10:
Klage på vedtak om pålegg om sletting av kundeopplysninger

Personvernnemndas avgjørelse av 1.11.2005 (Jon Bing, Gro Hillestad Thune, Hanne Bjurstrøm, Tom Bolstad, Jostein Halgunset, Siv Bergit Pedersen, Lars Erik Fjørtoft)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets vedtak av 19.11.2004, om pålegg om sletting av kundeopplysninger som Subaru Norge mottar fra en forhandler og utleverer videre til andre forhandlere.


2 Saksgang

Datatilsynet mottok klage fra Birger N Haug AS, representert ved advokat Johan Haga, i brev av 11.12.2003. Klagen gjaldt Subaru Norges behandling av personopplysninger mottatt fra Birger N Haug. Tilsynet ba om en redegjørelse fra Subaru Norge i brev av 25.2.2004. Tilsynet sendte purring den 20.4.2004 med en måneds frist til å svare. Da tilsynet ikke mottok svar, ble ny purring sendt 23.6.2004. Her ble det varslet om at tilsynet ville fatte vedtak basert på Birger N Haugs fremstilling dersom tilsynet ikke mottok svar innen en uke.

Subaru Norge svarte i brev av 16.7.2004. Svaret redegjorde ikke for tilsynets spørsmål. Datatilsynet sendte nytt brev den 23.7.2004, hvor tilsynet ba Subaru Norge oversende rettsavgjørelse referert til i brev av 16.7.2004 (Nedre Romerike tingretts kjennelse av 21.11.2003). Tilsynet mottok rettsavgjørelsen i brev av 7.10.2004 fra Birger N Haug. 19.11.2004 fattet tilsynet vedtak om sletting av kundeopplysninger med tre ukers klagefrist basert på Birger N Haugs redegjørelse av saken. På forespørsel fra Subaru Norge godtok tilsynet en utsettelse av klagefristen i brev av 17.12.2004. Subaru Norge, representert ved Wiersholm, Mellbye & Bech advokatfirma, klaget på vedtaket i brev av 17.12.2004, med ønske om at saken skulle videresendes til Personvernnemnda. Tilsynet ba om ytterligere opplysninger den 6.1.2005, og mottok svar fra Subaru Norge i brev av 25.1.2005. På bakgrunn av personlige omstendigheter utsatte tilsynet svarfristen for Birger N Haug. I brev av 17.2.2005 ga Birger N Haug uttrykk for at firmaet ikke lenger hadde behov for at saken skulle følges opp ytterligere fra Datatilsynets side.

Personvernnemnda mottok saken fra Datatilsynet den 28.3.2005. Subaru Norge, ved Wiersholm, Mellbye & Bech, ble orientert om dette i brev fra nemnda datert 30.5.2005 og gitt frist for ytterligere merknader. Wiersholm, Mellbye & Bech fikk etter forespørsel forlenget frist til 14.9.2005 for å inngi ytterligere merknader til klagen. Nemnda mottok klagers kommentarer i brev av 13.9.2005.


3 Faktum

Både bilimportør og bilforhandlere har kunderegister. Personopplysninger om kjøpere av Subarus biler innsamles av den forhandler som foretar salget. I avtalen mellom forhandlerne og Subaru Norge er det opplistet opplysninger som forhandlerne skal levere til importøren. Hensikten med uleveringen er at Subaru Norge qua importør skal kunne ivareta sine forpliktelser overfor bilkjøper, som har rettigheter etter kjøpsloven både overfor selger og importør.

Kundeopplysningene som i avtalen kreves utlevert fra forhandlerne til Subaru Norge, er:

  • bilkjøperens navn, adresse og alder
  • chassistype og nummer
  • registreringsdato og -nummer og nøkkelnummer
  • dato for innløsning av bilens dokumenter i bank

Slik praksis er i dag, utleverer Subaru Norge kundeopplysninger videre til andre forhandlere enn de som har innsamlet opplysningene. Saken dreier seg om hvorvidt denne praksis er lovlig.

Subaru Norge har ikke full oversikt over omfanget av slike utleveringer. Det fremkommer av saksdokumentene at Subaru Norge har utlevert kundens navn og adresse, bilens registreringsnummer, og Subarus interne kundenummer på kundens bil til en ny forhandler av Subaru.

Det ble avsagt kjennelse i Nedre Romerike tingrett om midlertidig forføyning 21.11.2003. Der fremgår det på side 14 at "[r]etten kan heller ikke se at Subarus opptreden er i strid med personopplysningsloven". Datatilsynet har fattet vedtak om at Subaru Norge må sørge for sletting av slike overførte kundeopplysninger hos forhandlerne.


4 Anførslene

Subaru Norge forstår Datatilsynets vedtak slik at tilsynets pålegg kun gjelder sletting av kundeopplysninger hos nye forhandlere som eventuelt måtte ha mottatt opplysninger fra Subaru Norge som er innhentet av en annen forhandler, og ikke sletting hos Subaru Norge .

Bilimportøren anfører at en eventuell utlevering av kundeopplysninger som er mottatt fra en forhandler til en annen forhandler, ikke er i strid med personopplysningsloven. Subaru Norge mener at behandlingen kan hjemles i personopplysningsloven § 8 litra f.

Subaru Norge har ikke foretatt noen nærmere undersøkelser i henhold til når og i hvilket omfang slike utleveringer eventuelt måtte ha funnet sted etter personopplysningslovens ikrafttreden 1.1.2001 og fremover. Subaru Norge mener uansett å ha en interesse i å kunne utlevere slike kundeopplysninger til nye forhandlere i fremtiden, og har derfor behov for å få en avklaring på spørsmålet.

Bilimportøren anfører at det ofte forekommer tilfeller der en ny forhandler får tilgang til tidligere innhentede kundeopplysninger. Dette skjer på forskjellige måter, for eksempel ved at en ny forhandler overtar virksomheten fra en tidligere forhandler, og hvor kundeopplysningene følger med virksomheten. Den tidligere forhandler vil her enten kunne være en frittstående forhandler, eller en del av importørens organisasjon. Subaru Norge nevner også tilfeller hvor en forhandler velger å avvikle hele eller deler av sin virksomhet uten at denne overdras til en ny forhandler, men hvor de kundeopplysninger som den tidligere forhandleren har innhentet og overlevert til importøren, utleveres til den nye forhandleren. Bilimportøren anfører at i alle disse tilfellene er fellesnevneren at kundeopplysninger overføres fra en forhandler til en annen. Subaru Norge kan ikke se at hensynet til den registrerte her gir noen større grunn til å gripe inn i det ene tilfellet enn det andre.

Subaru Norge mener at både importøren og den nye forhandleren ivaretar "en berettiget interesse" når kundeopplysningene tas i bruk hos den nye forhandleren, jf personopplysningsloven § 8 litra f. Bilimportøren viser til at det er flere ønsker og behov som ligger bak innsamling av personopplysninger hos forhandleren og importøren. For forhandleren vil kundeopplysningene både ha betydning i forbindelse med førstelinjehåndtering av serviceansvar, og i forbindelse med generell kundeinformasjon og markedsføring overfor Subaru-eiere. En ny forhandlers bruk av kundeopplysningene vil innebære de samme formål.

Ifølge Subaru Norge vil ikke reglene om adressemekling passe for tilfeller som dette, hvor forhandleren har behov for kundeopplysningene i sin løpende virksomhet, blant annet for å kunne håndtere reklamasjonsforespørsel, service og lignende, hvor den nye forhandleren vil være kontaktpunkt også i forhold til tidligere forhandleres nybilkunder.

Subaru Norge mener også at den tidligere forhandleres nybilkunder vil være best tjent med at den nye forhandleren får tilgang til kundeopplysninger og opplysninger om bilens historikk i henhold til reparasjoner og service, slik at kunden kan bli betjent på en best mulig måte.

På bakgrunn av ovennevnte vurdering anfører Subaru Norge at både importøren og den nye forhandleren oppfyller vilkåret for å behandle personopplysninger i personopplysningsloven § 8 litra f. Subaru Norge mener at hensynet til registrerte nybilkunder ikke er til hinder for at slike kundeopplysninger gis videre til ny forhandler. Dette gjelder uavhengig av bakgrunnen for utleveringen, herunder om utleveringen skjer som ledd i en virksomhetsoverdragelse eller på annen måte.

Subaru Norge viser forøvrig til at Nedre Romerike tingrett i sin kjennelse av 21.11.2003 la til grunn at Subaru Norges utlevering av kunderegister til den ny forhandler ikke var i strid med personopplysningsloven § 8.

Subaru Norge forutsetter at Datatilsynets pålegg ikke må iverksettes før klagen er behandlet. Dersom pålegget fastholdes, mener Subaru Norge at det bør presiseres i vedtaket hvor langt tilbake i tid Subaru Norge må gå for å undersøke hvilke personopplysninger som eventuelt måtte være overgitt til nye forhandlere. Bilimportøren mener også at det bør presiseres om vedtaket også skal omfatte kundeopplysninger fra nybilkunder som den nye forhandleren har solgt biler til etter at de opprinnelige kundeopplysningene ble utlevert. Tilsvarende gjelder også kunder som har fått utført reparasjoner, service eller lignende av den nye forhandleren, eller hvor forhandleren på annen måte har bearbeidet eller oppdatert tidligere kundeopplysninger. Subaru mener også at det i vedtaket bør presiseres at kundeopplysninger som ble overlevert fra bilimportøren til Skotvedt AS i 2003, og som stammet fra Subarus Norges egen forhandlervirksomhet i Oslo, ikke vil være omfattet av pålegget.

Det er for Subaru Norge uklart hva Datatilsynet mener med uttalelsen om at "opplysninger til forhandlerens egne kunder behøver ikke slettes". Subaru Norge anfører at ettersom de kunder som forhandlerne mottar opplysninger om fra Subaru Norge, må anses å være disse forhandlernes kunder eller potensielle kunder, ber Subaru Norge om at tilsynet presiserer innholdet av denne uttalelsen. Bilimportøren er i tvil om uttalelsen innebærer at kundeopplysningene uansett ikke behøver å slettes.


5 Datatilsynets vurdering

Datatilsynet mener at Subaru Norge og forhandlerne vil være selvstendige behandlingsansvarlige, jf personopplysningsloven § 2 nr 4. Etter personopplysningsloven § 11 første ledd litra a, skal den behandlingsansvarlige sikre seg at behandlingen av personopplysninger er tillatt etter personopplysningsloven §§ 8 og 9. Tilsynet fastslår at denne saken ikke gjelder sensitive personopplysninger.

Tilsynet er av den oppfatning at behandlingsgrunnlaget må vurderes ut i fra de to formål Subaru opplyser at opplysningene er innhentet for:

  1. Kundeinformasjon og markedsføring
  2. Førstelinjehåndtering av garantiansvar og service

Spørsmålet er ifølge tilsynet i hvilken grad Subaru Norge har et behandlingsgrunnlag i personopplysningsloven § 8 til å utlevere kundeopplysninger til andre forhandlere enn de som har samlet inn opplysningene, for bruk til ovennevnte formål.

Datatilsynet mener at Subaru ikke har et behandlingsgrunnlag for en slik utlevering. Derfor er det ikke er nødvendig å drøfte hvorvidt den enkelte forhandler som opplysningene utleveres til har et behandlingsgrunnlag. Tilsynets avveininger som er foretatt i tilknytning til Subaru Norges rett til å utlevere, vil også gjøre seg gjeldende for vurderingen av den enkelte forhandlers behandlingsgrunnlag.

Tilsynet kan ikke se at Subaru Norges utlevering av opplysningene til en ny forhandler med formål om kundebehandling, gir et behandlingsgrunnlag i personopplysningsloven § 8 litra f, slik Subaru Norge anfører.

Ifølge Datatilsynet omfattes utlevering med formål om markedsføring av det som kategoriseres som adressemekling. Tilsynet viser forståelse for at Subaru Norge har en berettiget interesse i å utlevere kontaktopplysninger slik at den enkelte forhandler kan foreta markedsføring rettet mot de registrerte. Tilsynet bestrider imidlertid at registreringsnummer og Subarus Norges interne kundenummer på bilene, kan behandles til dette formål. I henhold til Datatilsynets praksis kan bare kontaktopplysninger, sammen med informasjon som følger av at de er registrert i Subarus register, utleveres med hjemmel i personopplysningsloven § 8 litra f med adressemekling som formål.

Tilsynet mener videre at saken reiser spørsmål om hvorvidt Subaru Norge skal kunne utlevere registreringsnummer og kundenummer på bilene til markedsføringsformål. Tilsynet mener at hensynet til den registrertes personvern ikke blir alvorlig krenket ved at Subaru Norge utleverer registreringsnummer og kundenummer på bilene. På den annen side kan ikke tilsynet se at interessen i en slik bruk av disse opplysningene er særlig tungtveiende. Datatilsynet vektlegger tilsynets langvarige praksis på at opplysninger utover kontaktopplysninger, sammen med informasjonen som følger av at de er registrert i et register, ikke kan utleveres uten samtykke. Tilsynet viser forøvrig til Ot prp nr 92 (1998-1999) Om lov om behandling av personopplysninger (personopplysningsloven) side 109 om at hensynet til privatlivets fred må tillegges betydelig vekt i avveiningen mot kommersielle interesser. Datatilsynet mener at Subaru Norge og forhandleres interesse i markedsføring, ikke overstiger hensynet til den registrertes personvern.

I ovennevnte vurdering av hva tilsynet mener at kan utleveres til adressemekling, vektlegger tilsynet at det gis informasjon, jf. personopplysningsloven §§ 19 og 20. Datatilsynet forutsetter at dette også gjelder for Subaru Norges utlevering til andre forhandlere enn hos den forhandler bilen ble kjøpt, da disse forhandlerne ikke er behandlingsansvarlig som den registrerte har et løpende kundeforhold til, jf personopplysningsloven § 26, 5.ledd.

I henhold til formålet om førstelinjehåndtering av garantiansvar og service, er spørsmålet om den interesse Subaru Norge har i å utlevere opplysningene ivaretar en berettiget interesse, og om hensynet til den registrertes personvern ikke overstiger denne interessen.

Tilsynet viser til Personvernnemndas vurdering av sak nummer 2004-02 (samtykke for fortsatt lagring av opplysninger fra prosjektet "Helse- og stressreaksjoner hos oljearbeidere i Nordsjøen" - NTNU), og anfører at nemndas praksis er at behandling av personopplysninger som hovedregel baseres på samtykke. Subaru Norge anfører ikke konkrete argumenter for hvorfor samtykke ikke er benyttet. Tilsynet mener at det ikke vil være særlig problematisk å innhente samtykke fra den enkelte kunde. Når en Subaru-eier kommer til en forhandler for service, kan eieren oppgi registreringsnummeret.

Datatilsynet er av den oppfatning at utleveringen heller ikke kan hjemles i annet behandlingsgrunnlag. I interesseavveiningen etter personopplysningsloven § 8 litra f, mener tilsynet at Subaru Norges og den enkelte forhandlers interesse ikke overstiger interessen til den enkeltes personvern. Som nevnt ovenfor mener tilsynet at opplysninger kan innhentes når kunden ved behov kontakter forhandleren. Subaru Norge har ikke redegjort nærmere for hva det interne kundenummeret skal benyttes til, men tilsynet legger til grunn at også dette nummeret lar seg innhente når kunden kontakter forhandler. Ifølge Datatilsynet må Subaru Norges eventuelle interesse således være den muligheten som foreligger for kunne utlevere opplysningene allerede ved etablering av en ny forhandler, samt å slippe å innhente samtykke. Tilsynet anfører at denne interessen ikke overstiger hensynet til den registrertes personvern.

I henhold til Subaru Norges anførsel om at tilsynets vedtak ikke må iverksettes før klagen er behandlet, viser tilsynet til forvaltningsloven § 42. Tilsynet mener at utgangspunktet er at Datatilsynets pålegg skal iverksettes før fristen for slettingen utløper. I denne saken er personopplysningene også registrert i Subaru Norges egne registre. Tilsynet mener dermed at det ikke foreligger grunner som tilsier at pålegget ikke kan iverksettes. I denne forbindelse uttaler tilsynet i brev til Subaru Norge at "opplysninger til forhandlerens egne kunder behøver ikke slettes", noe Subaru Norge finner uklart.


6 Personvernnemndas vurderinger

Etter personopplysningsloven § 11, 1.ledd litra a må den behandlingsansvarlige sikre seg at det foreligger et tilstrekkelig behandlingsgrunnlag i personopplysningsloven §§ 8 og 9. Denne saken gjelder ikke sensitive personopplysninger (jf personopplysningsloven § 2 nr 8, dermed berører ikke saken personopplysningsloven § 9). Det vil være tilstrekkelig å finne behandlingsgrunnlag i personopplysningsloven § 8. Etter hovedregelen i personopplysningsloven § 8 skal behandling av personopplysninger bygge på samtykke slik dette er definert i personopplysningsloven § 2 nr 7.

Sakens bakgrunn er forholdene mellom importør (Subaru Norge), forhandlere av Subaru av ulike kategorier og en kunde som er kjøper av en Subaru fra en forhandler. Skjematisk kan disse partene og relasjonene mellom dem skisseres som nedenfor:

I denne oversikten har man holdt utenfor de tilfeller hvor en aktuell forhandler overdrar sin virksomhet til en annen forhandler, herunder kundeopplysninger. I et slikt tilfelle vil overdragers plikter og rettigheter overfor kunder overdras sammen med virksomheten. Den som overtar virksomheten, vil da få samme forhold til kunden som overdrageren, dvs den posisjon som i diagrammet er angitt som "aktuell forhandler".

Forholdet mellom kunde og "aktuell forhandler" etableres i forbindelse med kjøp av en bil. I den forbindelse vil kunden kunne samtykke i behandling av personopplysninger. Imidlertid vil samtykket inngå i en forretningsmessig transaksjon hvor kunden mottar fordeler mot vederlag, og hvor registrering av opplysningene er en forutsetning for at transaksjonen kan gjennomføres. Det vil derfor være tvilsomt om samtykket formelt sett er "frivillig" i den betydning som personopplysningsloven § 2 nr 7 benytter uttrykket.

I dette tilfellet er det etter Personvernnemndas syn nærliggende å finne behandlingsgrunnlaget i den "nødvendighetsbegrunnelse" som er angitt i personopplysningsloven § 8 litra a, i det registreringen er nødvendig for å "oppfylle en avtale med den registrerte". På dette grunnlag kan den aktuelle forhandler registrere opplysningene. Samtidig vil avtalen pålegge importør rettigheter og plikter direkte overfor kunden, slik at det også etableres et avtaleforhold mellom importør og kunde. For å oppfylle denne avtalen, må aktuell forhandler kunne overføre opplysninger til importør, som også har grunnlag for å behandle dem etter personopplysningsloven § 8 litra a.

Hvis kunden velger å kontakte en ny forhandler for vedlikehold, innbytte eller lignende, vil det igjen enten etableres eller forberedes et avtaleforhold mellom partene. Personvernnemnda forutsetter at kontakten mellom kunde og den nye forhandler som kunden kontakter, gir tilstrekkelig behandlingsgrunnlag etter personopplysningsloven § 8, enten etter hovedalternativet samtykke eller etter nødvendighetsgrunnen i litra a. I den aktuelle situasjonen synes det unødvendig å analysere dette ytterligere. Dette vil også gi det nødvendige grunnlag for at den nye forhandler kunden kontakter kan få overført de opplysninger om kunden som er registrert hos importør.

Klagen gjelder ikke behandling av personopplysninger i disse situasjonene, men den behandling av personopplysninger som kan foretas hos en ny forhandler som ikke er kontaktet av kunden. Her kan selvsagt verken samtykke eller personopplysningsloven § 8 litra a påberopes som grunnlag for databehandlingen. Klager har hevdet at det tilstrekkelige behandlingsgrunnlag kan finnes i nødvendighetsbegrunnelsen i personopplysningsloven § 8 litra f fordi importør eller den nye forhandler som opplysningene utleveres til skal kunne vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. Den interesse man her kan påberope seg, knytter seg til det første formålet for behandlingen av personopplysninger som Datatilsynet har vektlagt: Kundeinformasjon og markedsføring. Etter personopplysningsloven § 11, 1.ledd litra b er det bare opplysninger som nyttes til dette uttrykkelig angitte formål, og som er saklig begrunnet i importørens virksomhet som kan benyttes.

Den nye leverandør har ikke et direkte og løpende kundeforhold til den registrerte. Personvernnemnda anser slik informasjon og markedsføring som utlevering av personopplysninger til en tredjepart, dvs den nye leverandøren. For at den nye leverandøren skal kunne behandle opplysningene, må også denne ha et behandlingsgrunnlag. Til tross for at personopplysningsloven § 8 litra f synes å omfatte videregivelse av opplysninger til tredjepart, tolker Personvernnemnda bestemmelsen slik at det ikke er tilstrekkelig at den behandlingsansvarlige (i dette tilfellet importøren) har et behandlingsgrunnlag. Også tredjepart (i dette tilfellet den nye forhandleren), som blir behandlingsansvarlige for de mottatte opplysningene, må ha et behandlingsgrunnlag. Det eneste behandlingsgrunnlaget den nye leverandøren synes å kunne påberope seg, er personopplysningsloven § 8 litra f.

Ettersom opplysningene i dette tilfellet blir innsamlet fra importøren, og ikke fra den registrerte, uløser innsamlingen plikt til å varsle kunden etter personopplysningsloven § 20, 1.ledd. Datatilsynet har antatt at kundeinformasjon og markedsføring representerer en berettiget interesse for den nye leverandøren. Utleveringen av opplysningene anses som en form for adressemekling. Personvernnemnda slutter seg til dette synet.

Datatilsynet anser at bare kontaktopplysninger og det forhold at den registrerte er kunde hos importøren kan behandles med markedsføring som formål rettet mot kunder av en forhandler som ikke er kontaktet av kunde. I forhold til angivelsen av hvilke opplysninger som registreres i henhold til avtalen, vil bare bilkjøperens navn og adresse sammen med opplysningen om at den registrerte er kunde hos Subaru, kunne behandles av en slik ny forhandler. Det er i saken opplyst at det også registreres andre opplysninger enn de som fremkommer av listen angitt under pkt 3, da særlig et internt kundenummer. Heller ikke dette vil kunne overføres fordi den nye forhandler mangler behandlingsgrunnlag i formålet med behandlingen, jf ovenfor.

Etter dette stadfester Personvernnemnda Datatilsynets vedtak, dog med den presisering at når formålet for ny forhandler, som kunden ikke har vært i kontakt med, er kundeinformasjon og markedsføring kan nye forhandler bare begrunne behandling av navn, adresse og det forhold at den registrerte er kunde hos importør i personopplysningsloven § 8 litra f. Importør vil heller ikke kunne overføre andre opplysninger til en ny forhandler. Importør må medvirke til at andre opplysninger hos nye forhandlere som kunden ikke selv har kontaktet, blir slettet uansett tidspunkt for registrering (overføring).


7 Vedtak

Datatilsynets vedtak stadfestes med den presisering som følger av Personvernnemndas konklusjon.

Oslo 18.11.2005
For Personvernnemnda

Jon Bing
Leder