Datatilsynets referanse: 11/01209-29/HTE

PVN-2012-06 Teletopia

Klage på Datatilsynets pålegg om utlevering av opplysninger og på Datatilsynets publisering av foreløpig rapport hvor administrerende direktør navngis

Personvernnemndas avgjørelse av 7. mai 2012 (Eva I E Jarbekk, Ingvild Hanssen-Bauer, Ørnulf Rasmussen, Tom Bolstad, Leikny Øgrim, Gisle Hannemyr, Jostein Halgunset)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets pålegg om utlevering av opplysninger.

2 Saksgang

Datatilsynet gjennomførte en uvarslet kontroll hos Teletopia Gruppen 22.11.2011. Det ble deretter laget en foreløpig kontrollrapport. Rapporten ble sendt til Teletopia 24.1.2012 for kommentarer. I brev av 2.3.2012 kom Teletopia med sine kommentarer. Dagens Næringsliv og Asker & Bærum Budstikke skrev om saken 8.3.2012. Både Teletopias administrerende direktør og Datatilsynets informasjonsdirektør uttaler seg i avisartiklene. Teletopia kom med ytterligere kommentarer til tilsynsrapporten 12.3.2012. På bakgrunn av kommentarene fattet Datatilsynet pålegg 15.3.2012 om at Teletopia skulle svare på fem spørsmål.

Teletopia påklaget pålegget 19.3.2012.

Saken ble oversendt Personvernnemnda 23.3.2012, som mottok saken 27.3.2012. Klager ble orientert om dette i brev fra nemnda datert 27.3.2012, med frist til uttalelse innen 13.4.2012. Klager kommenterte oversendelsesbrevet i e-post av 13.4.2012 med brev datert 12.4.2012 og vedlegg.

3 Faktum

Teletopia ble etablert i 1994 som den fjerde teleoperatøren i Norge, etter Televerket (Telenor), TeleMobil (Telenor Mobil) og NetCom. Selskapet startet i 2002 utbygging av det tredje selvstendige mobilnettet i Norge, og åpnet mobilnettet for egne kunder i begrenset dekningsområde i 2003. Nettet ble solgt til MTU i 2005.

Teletopia driver med spesialutvikling av avanserte teletjenester som er tilpasset kundens individuelle behov. Det omfatter ofte integrasjon med kundens datasystemer, utveksling av personopplysninger osv. Teletopia har blant annet utviklet geolokasjon, slik at man ikke bare ser hvem som ringer, men hvor de ringer fra.

Teletopia fikk uanmeldt kontrollbesøk fra Datatilsynet i november i fjor. Datatilsynet har i ettertid pålagt Teletopia å svare på fem spørsmål. Teletopia har påklaget pålegget. De fem spørsmålene lyder:

  1. Hva mener virksomheten med begrepet teleoperatør? Siden begrepet teleoperatør er noe uklart, bes virksomheten om å klargjøre hvilket innhold man tillegger begrepet i denne sammenheng. Med andre ord en nærmere beskrivelse av hva slags kommunikasjonstjenester virksomheten tilbyr, samt hva slags personopplysninger som behandles. Oversikten over personopplysningene skal være detaljert på gruppenivå. For eksempel informasjon om innkommende telefonnummer, klokkeslett, lokasjon osv. Det må klart fremkomme hva slags personopplysninger som behandles i den enkelte tjeneste. Datatilsynet ber om overordnede opplysninger og ikke opplysninger om enkeltpersoner. Det bes om at man spesifiserer hvilke(t) konsernselskap som er behandlingsansvarlig(e).
  2. Hvor lenge lagres opplysningene? (jf spørsmål 1)
  3. Hvilke opplysninger (jf spørsmål 1) lagres konkret, en uttømmende oppramsing.
  4. Om virksomheten anser behandlingen som konsesjonspliktig etter personopplysningsforskriften § 7-1?
  5. Virksomheten må gi Datatilsynet informasjon om man behandler personopplysninger i tråd med gitt telekonsesjon av 22.9.2004.

Etter det uanmeldte kontrollbesøket som Datatilsynet foretok hos Teletopia, utarbeidet Datatilsynet en foreløpig tilsynsrapport. Den foreløpige rapporten ble tilgjengeliggjort via OEP (Offentlig Elektronisk Postjournal), som ligger på www.oep.no. Datatilsynet har ikke elektronisk postjournal på egen hjemmeside, men benytter OEP.

OEP er en felles publiseringstjeneste for statlige virksomheters postjournaler. Virksomhetene bruker publiseringsløsningen til å gjøre sine egne postjournaler tilgjengelig på internett for alle brukere. De ulike postjournalene blir deretter samlet i en felles database som blir gjort søkbar for brukerne. Brukerne kan søke etter informasjon gjennom OEP og bestille innsyn i den informasjonen de finner interessant. Denne bestillingen blir sendt til den virksomheten som er ansvarlig for journaloppføringen. Deretter blir bestillingen behandlet av virksomheten som et innsynskrav, og brukeren får svar direkte fra virksomheten.

Selve dokumentet (den foreløpige rapporten) ligger derfor ikke på OEP, men kan bestilles av interesserte ved å bestille innsyn.

4 Klagers anførsler

Klager anfører at klagen gjelder to ulike forhold, der et det ene antas å bryte mot de rettigheter klager har som privatperson, og det andre gjelder et påstått grunnløst og ugyldig pålegg som gitt omstendighetene oppleves å være trakasserende:

  1. Tilsynets behandling av personopplysninger om klager, det vil si tilgjengeliggjøring for offentligheten av kritikk rettet mot ham som person
  2. Tilsynets pålegg om å forklare hva Teletopia mener med ordet "teleoperatør" m.v. (pålegg av 15. mars 2012).

Klager mener at Datatilsynet bedriver regelrett mobbing og trakassering når tilsynet ber om nærmere forklaring av hva som menes med "teleoperatør". Datatilsynet er vel kjent med at Teletopia etter selskapets etablering i 1994 var det tredje selskapet i landet som fikk såkalt "sentaks-konsesjon" for behandling av trafikkdata (registrering av telefontrafikk for avregningsformål). Denne ble videreført i den såkalte "telekonsesjonen" i 2004. Det er dette som ligger til grunn for virksomheten. På dette grunnlaget påklager Teletopia pålegget fra tilsynet. Teletopia ønsker ikke å forklare Datatilsynet hva som menes med at Teletopia er en teleoperatør.

Klager anfører at flere av de "funn" som tilsynet gjorde under kontrollen, bærer preg av å være konstruert i den hensikt at tilsynet skulle "avdekke" brudd på offentligrettslige regler.

Klager ber Personvernnemnda vurdere om tilsynets publisering av de delene av den foreløpige kontrollrapporten som inneholdt kritikk og beskyldninger fremsatt mot "undertegnede personlig" (administrerende direktør) er i strid med personopplysningsloven og/eller de formål og målsetninger som kommer til uttrykk i EUs personverndirektiv og fortalene til denne. Klager viser til at tilsynet mener at klagens punkt 1 ikke kan behandles av nemnda og derfor har oversendt denne delen av klagen til FAD for behandling. FAD har i vedtak 10. april 2012 avgjort at tilgjengeliggjøringen av den foreløpige kontrollrapporten jf offentlighetsloven, der kritikken mot direktøren som person er fremsatt, ikke strider mot taushetspliktsreglene i forvaltningsloven. FAD har ikke vurdert tematikken i forhold til personopplysningslov, internasjonal bakgrunnsrett eller annet.

Klager forstår det slik at Datatilsynet er gitt myndighet til å avgjøre om et konkret forhold er et brudd på personopplysningsloven og tilhørende forskrifter, og videre at nemnda er gitt myndighet til eventuelt å overprøve en slik beslutning. Av dette følger at nemnda også har kompetanse til å avgjøre om Datatilsynet selv kan ha handlet i strid med personopplysningsloven, dennes forskrifter og/eller de internasjonale traktater, konvensjoner og rettsakter som danner bakgrunnsretten for personvernet i Norge og EU/EØS. Ingen deler av klagen til nemnda har blitt behandlet av annet klageorgan, og klagen er følgelig gjeldende i sin helhet.

Klager påklager at tilsynet i riksdekkende media har hevdet at direktøren er lovbryter, basert på en foreløpig rapport, inneholdende påstander og beskyldninger som tilsynet burde vite kunne inneholde feil.

Klager mener at det kan hevdes at en beskylding av denne karakter og omfang fra en offentlig myndighet fremsatt i riksdekkende media om at en person har foretatt straffbare handlinger, der den offentlige myndigheten har sanksjonskompetanse, kan være i strid med Den Europeiske Menneskerettighetskonvensjons artikkel 6: Beskyldningene som er fremsatt bærer preg av å være slik "siktelse" som artikkelen omtaler. Forholdet er uansett, dersom det ikke kan føres sannhetsprov for beskyldningene, i strid med bestemmelser i straffelovens kap 23.

Tilsynet fant enkelte forhold som kan kritiseres, herunder forhold som direktøren er ansvarlig for. Klager mener imidlertid at de fleste forhold som tilsynet berører i den foreløpige kontrollrapporten og i sine oversendelsesbrev, har ligget inn under selskapsgruppens tidligere daglig leders ansvarsområder. Det må derfor fremstå som underlig at han selv ikke iverksatte tiltak for å utbedre påståtte regelstridige forhold som han skulle ha vært kjent med, i løpet av de nesten seks årene vedkommende var tilsatt i stillingen. Klager viser til brev til tilsynet av 2. mars 2012 side 10:

Tilsynet gjennomførte den uvarslede kontrollen 22 dager etter at undertegnede overtok som daglig leder i virksomheten. Fra 2005 og frem til dette har undertegnede arbeidet som forretningsutvikler, mens bedriftsgruppens daglig ledelse, økonomistyring, personalansvar osv. har ligget hos [B].

Det følger av virksomhetsgruppens telekonsesjon fra 2004, punkt 3, at behandlingsansvarlig fra mai 2005 frem til 31. oktober 2011 de facto har vært en annen enn nåværende direktør. Klager ønsker derfor å påklage at tilsynet nå overfor både nemnda og FAD fremsetter påstander om nåværende direktørs rolle som tilsynet må vite er ukorrekt.

Klager viser til den foreløpige kontrollrapportens punkt 5.1.1.3:

I Datatilsynets kontroll av virksomheten i 2008, ble [adm dir] pålagt å demontere kameraene i resepsjonsområdet (saksnr. 08/00450-8). Datatilsynets kontroll avdekket at [adm dir] ikke har fulgt opp dette pålegget. Datatilsynet ser alvorlig på at [adm dir] ikke har etterkommet pålegg fra Datatilsynet. Det må ses i skjerpende retning at [adm dir] har behandlet personopplysninger i strid med regelverket, når han tidligere har fått pålegg om at kameraovervåkingen skal opphøre, jf. tilsynets kontroll i 2008.

Klager anfører at det er bekymringsfullt at tilsynet ikke forstår at dette vanskelig kan oppfattes på annen måte enn som massiv kritikk mot privatperson, og at tilsynets påstander i riksdekkende media om at denne personen er lovbryter, bidrar til å forsterke dette.

Klager anfører at en rekke forhold som tilsynet kritiserer i den foreløpige kontrollrapporten, er udokumenterte spekulasjoner fra tilsynets side. Man har eksempelvis ikke konstatert at virksomheten på noe tidspunkt har behandlet e-post eller trafikkdata i strid med reguleringene. Dette skaper klart et problem i forhold til de følgende påstander som tilsynet har fremsatt i riksdekkende media:

    1. "Vi ser her en detaljert og omfattende overvåkning av de ansatte."
    2. "Det ser ut til at nærmest alt teknologien tillater å gjøre av registrering, overvåkning og kontroll er tatt i bruk."
    3. "Det er på ingen måte hverdagskost at vi finner så omfattende kontroll og overvåkning i ett selskap. Vi har funnet mange forhold som for seg selv er ganske alvorlige og grove."
    4. "Dette er et spesielt tilfelle med den omfattende registreringen og lagringen av personopplysninger i mange sammenhenger. Vi har sjelden funnet så mange ulike forhold å sette fingeren på, og ser på dette som en alvorlig sak."
    5. "Vi fant veldig mye med bredde og dybde, så i sum må vi karakterisere dette som alvorlige brudd på personvernlovgivningen."

Klager opplever det som problematisk at tilsynet allerede har gått svært "høyt på banen" og nå synes å lete etter andre begrunnelser for å forsvare dette. Klagers selskap, og klager som privatperson, har rettigheter som må ivaretas, også mot det som i sammenhengen kan oppfattes som maktovergrep og/eller myndighetsmisbruk.

Pålegget om at Teletopia Gruppen AS skal redegjøre for hva selskapet legger i ordet
"teleoperatør" og at selskapet skal redegjøre i detalj for teletjenester selskapet produserer, m.v. er grunnløst. Tilsynet benytter selv ordet "teleoperatør" om tilbydere av offentlig telefontjeneste, og tilsynet er godt kjent med at Teletopia leverer slike tjenester og har levert slike uavbrutt siden selskapet ble etablert i 1994. Noen ytterligere oppklaring kan ikke være påkrevd.

Klager ber derfor om at:

  1. Personvernnemnda vurderer om den gjentatte navngivning av direktøren i kritikken som fremsettes i den foreløpige kontrollrapporten og før han har fått anledning til å ta til motmæle, forsvare seg og/eller å rette opp eventuelle feil, kan ansees å være slike personopplysninger som formålet bak gjeldende norsk og/eller internasjonalt regelverk er ment å beskytte.
  2. Personvernnemnda opphever det påklagede pålegget mot Teletopia Gruppen AS. Bakgrunnen er at fire av de fem forhold som tilsynet i pålegg har krevd at Teletopia Gruppen AS skal opplyse, ble avklart allerede under kontrollbesøket, og at tilsynet er godt kjent med at Teletopia er "teleoperatør". Et pålegg om å skulle gjenta allerede overlevert informasjon, opplyser ikke saken ytterligere. Sett i sammenheng med feilaktige påstander i den foreløpige kontrollrapporten og beskyldninger tilsynet allerede har fremsatt i riksdekkende media, opplever klager dette å være belastende. I sin redegjørelse til nemnda oppgir tilsynet at kravet mot Teletopia Gruppen AS er fremsatt for at tilsynet skal kunne avklare forhold i Servicebyrået AS, som er en annen juridisk person enn det selskapet opplysningskravet er rettet imot. Tilsynets redegjørelse til nemnda må sees som en utdypning av, og derfor del av, tilsynets pålegg mot Teletopia Gruppen AS. Når tilsynets behov for opplysninger rent faktisk skal oppklare forhold i Servicebyrået AS, må pålegget rettes mot dette selskapet. Sett i forhold til den nå oppgitte begrunnelsen for pålegget mot Teletopia Gruppen AS, må pålegget i sin helhet ansees å være ugyldig.

For øvrig ber klager Personvernnemnda om slik veiledning som forvaltningsloven § 11 beskriver, særlig litra b) siste setning («regler for saksbehandlingen, særlig om parters rettigheter og plikter etter forvaltningsloven. Om mulig bør forvaltningsorganet også peke på omstendigheter som i det konkrete tilfellet særlig kan få betydning for resultatet»), slik at klager på best mulig måte kan ivareta sitt tarv.

5 Datatilsynets vurdering

Under kontrollen hos Teletopia Gruppen fikk Datatilsynet kopi av en standard arbeidsavtale mellom en ansatt og Servicebyrået AS, som er Teletopias søsterselskap der de fleste i konsernet formelt sett er ansatt. I avtalens punkt 16 reguleres arbeidstakers bruk av elektronisk kommunikasjon og elektroniske hjelpemidler. Der heter det at "I egenskap av å være teleoperatør, lagrer bedriften informasjon om telefonnummer det ringes til og telefonnummer det ringes fra, til både fasttelefon og mobiltelefon som eventuelt disponeres av Arbeidstakeren. Arbeidstakeren er oppmerksom på at slik informasjon er åpen og tilgjengelig for både ledelse og teknikere i bedriften".

Administrerende direktør opplyste under kontrollen at Teletopia Gruppen ikke lenger var en mobiloperatør og at man kjøpte sine tjenester fra NetCom.

I Teletopias merknader til den foreløpige kontrollrapportens pkt 5.3.2 (lagring av trafikkdata) hitsettes:

Teletopia er teleoperatør i det offentlige telenettet. Til grunn for all avregning av bruk av nettet, både overfor kunder og andre teleoperatører som Teletopia utveksler trafikk med, produserer telesystemer såkalte CDR'er dvs "Call Detail Records". Slike CDR'er inneholder telefonnummer det ringes fra, telefonnummer det ringes til, tidspunkt for samtalen, hvor lenge samtalen varte osv

Datatilsynet påpeker at begrepet teleoperatør ikke har noen legaldefinisjon og at det er vanskelig å vurdere hvilket innhold begrepet er tillagt. Merknadene fra Teletopia medfører ytterligere uklarheter siden det ikke kommer klart frem hva slags kommunikasjonstjenester virksomheten tilbyr og hva slags personopplysninger som behandles.

Datatilsynet setter spørsmålstegn ved at en teleoperatør (Servicebyrået AS) i egenskap av å være arbeidsgiver, skal ha tilgang til ansattes personopplysninger (trafikkdata), slik det følger av arbeidsavtalen. Servicebyrået AS er ikke oppført som behandlingsansvarlig som behandler trafikkdata. Tilsynet mener derfor at dette bør undersøkes nærmere.

Teletopia ble gitt telekonsesjon 22.9.2004. I henhold til konsesjonens pkt 11 skal Teletopia hvert tredje år sende Datatilsynet en bekreftelse på at behandlingen skjer i overensstemmelse med søknaden og personopplysningslovens regler. Datatilsynet har ikke mottatt slik bekreftelse.

Datatilsynet anfører at de spørsmål som tilsynet stiller er både betimelig og nødvendig for at tilsynet skal kunne utføre sine oppgaver i samsvar med personopplysningsloven § 42. Opplysningene er videre blant de opplysninger Teletopia plikter å oppgi etter § 44.

Når det gjelder tilsynets offentliggjøring av de delene av den foreløpige kontrollrapporten som inneholdt kritikk og beskyldninger fremsatt mot "undertegnede personlig", vil det være Fornyingsdepartementet (FAD) som er rett klageinstans i avgjørelser fattet av Datatilsynet i saker etter offentleglova. Datatilsynet har derfor sendt dette spørsmålet til FAD.

6 Personvernnemndas merknader

Personvernnemnda skal først vurdere klagen over pålegget fra Datatilsynet. Datatilsynet ber om svar på fem spørsmål i pålegget. Klager har påklaget pålegget fordi klager oppfatter spørsmålene som mobbing og trakassering som følge av sakens omstendigheter.

Det rettslige grunnlaget for å pålegge et foretak å besvare spørsmål om personvernrelaterte handlinger, er personopplysningsloven § 44. Bestemmelsen lyder:

Datatilsynet og Personvernnemnda kan kreve de opplysningene som trengs for at de kan gjennomføre sine oppgaver.

Datatilsynet kan som ledd i sin kontroll med at lovens regler etterleves, kreve adgang til steder hvor det finnes personregistre, overvåkingsutstyr og billedopptak som nevnt i § 37, personopplysninger som behandles elektronisk og hjelpemidler for slik behandling. Tilsynet kan gjennomføre de prøver eller kontroller som det finner nødvendig og kreve bistand fra personalet på stedet i den grad dette må til for å få utført prøvene eller kontrollene.

Retten til å kreve opplysninger eller tilgang til lokaler og hjelpemidler i henhold til første og annet ledd gjelder uten hinder av taushetsplikt.

Kongen kan gi forskrift om unntak fra første til tredje ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift om dekning av utgiftene ved kontroll.

Datatilsynet har gitt et pålegg om svar på fem konkrete spørsmål som gjelder virksomhetens behandling av personopplysninger, det vil si hva slags personopplysninger som behandles, hvilke konkrete personopplysninger som lagres, hvor lenge de lagres mv. Regler for fremgangsmåten ved pålegg om å gi opplysninger følger av forvaltningsloven § 14. Bestemmelsen lyder:

Blir noen pålagt å gi opplysninger, skal heimelen for pålegget angis. Vedkommende har rett til å klage over pålegget dersom han mener at han ikke har plikt eller lovlig adgang til å gi opplysningene. Han skal gjøres oppmerksom på klageadgangen i forbindelse med pålegget. Klage, som kan være muntlig, må framsettes straks når den pålegget angår er til stede, og ellers innen 3 dager. Dersom vedkommende forvaltningsorgan finner det påtrengende nødvendig for å gjennomføre sine oppgaver etter loven, kan det kreve at opplysningene blir gitt før klagesaken er avgjort. For øvrig gjelder bestemmelsene i kapittel VI tilsvarende så langt de passer.

Klageadgangen over pålegget følger av ordlyden i forvaltningsloven § 14. Det følger av § 14 at pålegget kan påklages dersom parten mener at han ikke har plikt til å gi opplysningene eller lovlig adgang til å gi opplysningene. Klageadgangen er med andre ord begrenset til å gjelde lovligheten av pålegget. Bestemmelsen i § 14 gir dermed en snevrere adgang til å klage enn etter forvaltningsloven § 28. Klagegrunnene er uttømmende angitt i § 14 og klager har således ikke et rettskrav på å få overprøvd hensiktsmessigheten eller rimeligheten av vedtaket, selv om klageorganet har adgang til å prøve også den siden av saken, jf forvaltningsloven §§ 34 og 35 (jf § 14 in fine som slår fast at bestemmelsene i kap VI gjelder tilsvarende så langt de passer). Vi viser til Woxholth som har kommentert § 14 i boken "Forvaltningsloven" av 2006 side 299:

Andre klagegrunner er ikke relevante. Det kan f eks ikke brukes som klagegrunn at pålegget er urimelig. Hensiktsmessigheten og nødvendigheten av pålegget kan ikke prøves. En annen sak er selvsagt at den det gjelder kan anmode organet om å prøve rimeligheten av pålegget. Klageretten etter § 14 annet punktum er dermed snevrere enn klageretten etter forvaltningsloven § 28.

Vi viser også til Jan Fridtjof Bernt (Kommentarer til forvaltningsloven i Rettsdata) som kommenterer § 14 slik:

Klageorganet kan av eget tiltak vurdere om vedtaket er ønskelig eller rimelig og ev. oppheve det selv om det er fullt lovlig, se § 35 andre ledd, jf. første ledd bokstav a. § 14 gir imidlertid ikke klageren rettskrav på å få prøvet denne side av vedtaket.

Nemnda skal så gå over til å vurdere de to lovlige klagegrunnene: For det første at parten det gjelder ikke har plikt til å gi opplysningene. For det annet at parten ikke har lovlig adgang til å gi opplysningene. Nemnda kan ikke se at disse to klagegrunner er anført i saken. Klager har påklaget pålegget med den begrunnelse at det er spørsmål som Datatilsynet allerede vet svaret på eller som Datatilsynet har fått svar på ved gjennomføring av tilsyn hos Teletopia. Klager anfører at å stille spørsmål som Datatilsynet allerede vet svaret på, vil, sett i lys av denne sakens omstendigheter, være trakassering eller mobbing av klager. Klager mener videre at det er unødvendig å svare på spørsmålene som er stilt i pålegget. Dette er imidlertid ikke klagegrunner etter forvaltningsloven § 14 og således ikke klagegrunner som klager har rettskrav på å få prøvd. Bestemmelsen om klagerett i forvaltningsloven § 14 er uttømmende i den forstand at en part ikke har klagerett over påleggets innhold for så vidt det er innenfor det organet har hjemmel til å kreve og vedtaket ellers er lovlig. Parten vil ikke ha krav på at klageorganet vurderer om pålegget er nødvendig, rimelig eller hensiktsmessig. Etter nemndas syn er påleggets innhold i denne saken klart innenfor det Datatilsynet har hjemmel til å kreve for å kunne utføre sine oppgaver i samsvar med personopplysningsloven § 42. Spørsmål nr 1 ber ikke om en allmenngyldig definisjon av begrepet teleoperatør, men ber om svar på hva virksomheten selv legger i begrepet. Samtlige spørsmål er således relevante, og må sees i sammenheng. Opplysningene som etterspørres er av den type opplysninger Teletopia plikter å oppgi etter § 44, og Teletopia har også lovlig adgang til å gi opplysningene.

Når det gjelder hensiktsmessigheten av å stille spørsmålene, kan ikke nemnda se at det foreligger tilstrekkelig grunnlag for å overprøve denne siden av vedtaket i denne saken.

Personvernnemnda går så over til å vurdere klagen over at selskapets direktør er navngitt i den foreløpige rapporten og at den foreløpige rapporten ble tilgjengeliggjort via OEP. Personvernnemnda er enig med klager i at Datatilsynet har ordlagt seg noe upresist i den foreløpige rapporten. Et pålegg skal rettes mot foretaket, ikke mot styreleder eller daglig leder. Det er den juridiske enheten som er pliktsubjektet etter personopplysningsloven. Det er riktig at direktøren representerer selskapet og at han deltok under tilsynet, men pålegg, og eventuelt kritikk for at pålegg ikke er fulgt, må rette seg mot den juridiske enheten idet det er selskapet som er behandlingsansvarlig. Personvernnemnda finner det derfor noe upresist når Datatilsynet skriver i den foreløpige rapporten blant annet «ble [adm dir] pålagt å demontere kameraene», «Datatilsynet kan ikke se at [adm dir] her har behandlingsgrunnlag».

Det forhold at Datatilsynet navngir direktøren i den foreløpige rapporten er imidlertid ikke et brudd på personopplysningsloven. Direktøren er administrerende direktør i selskapet og dette er opplysninger som er registrert i Foretaksregisteret. I realiteten dreier saken seg om ham som representant for selskapet. Likevel mener nemnda at det er tilstrekkelig å navngi ham som representant for selskapet og som til stede under tilsynet. For øvrig kunne rapporten ha vist til selskapet ved selskapets navn. Det er nemndas syn at man bør utvise varsomhet med å bruke personnavn i rapporter som senere vil bli et offentlig tilgjengelig dokument.

Personvernnemnda viser til for øvrig til at Fornyingsdepartementer har konkludert med at publiseringen ikke innebar brudd på offentlighetsloven eller offentlighetsforskriften, jf forvaltningslovens bestemmelser om taushetsplikt. Nemnda er enig i departementets vurdering.

7 Vedtak

Klagen tas ikke til følge.

 

 

Oslo, 7. mai 2012

Eva I E Jarbekk
Leder