Datatilsynets referanse: 13/00328-25/CBR

PVN-2013-27 Gjensidige Forsikring

Klage på Datatilsynets vedtak om informasjonssikkerhet og internkontroll

Personvernnemndas avgjørelse av 10. juni 2014 (Olav Torvund, Nina Melsom, Ørnulf Rasmussen, Ann R Sætnan, Gisle Hannemyr, Anne Forus)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak om informasjonssikkerhet og internkontroll.

2 Saksgang

Datatilsynet gjennomførte en kontroll den 14. mai 2013 hos Gjensidige. Kontrollen skjedde med hjemmel i personopplysningsloven§ 42 tredje ledd nr. 3.

Kontrollen var først og fremst knyttet til selskapets behandling av personopplysninger i forbindelse med såkalt utredningsvirksomhet, hvor formålet med behandlingen er å avdekke svik og forsøk på svik. Også andre forhold ble berørt under kontrollen, herunder plikten til internkontroll for selskapets behandling av personopplysninger i forbindelse med forsikringsvirksomheten generelt. Tilsynet fant en rekke mangler ved Gjensidiges etterlevelse av personopplysningslovens bestemmelser om informasjonssikkerhet og internkontroll. Disse ble beskrevet i en foreløpig kontrollrapport av 17. juni 2013. Samme dag varslet tilsynet om at det ville gi pålegg for å bringe behandlingen i lovlige former, og at tilsynet ville ilegge overtredelsesgebyr. Datatilsynet varslet også om at det ville trekke tilbake selskapets konsesjon for behandling av personopplysninger, dersom påleggene ikke ble oppfylt innen en nærmere fastsatt frist.

Etter å ha vurdert selskapets tilsvar av 30. juli 2013 fattet tilsynet vedtak den 20. september 2013, med hjemmel i personopplysningslovens§ 46. Vedtaket lød som følger:

  1. Virksomheten må etablere og implementere internkontroll i samsvar med personopplysningsloven § 14. Det vises til tilsynsrapportens pkt 6.2.1.
  2. Virksomheten må ikke behandle personopplysninger i større utstrekning eller på annen måte enn det er behandlingsgrunnlag for, jf personopplysningslovens § 11 a og §§ 8 og 9. Det vises til kontrollrapportens pkt 6.2.2.
  3. Virksomheten må ikke behandle personopplysninger som ikke er nødvendige og relevante for formålet med behandlingen, eller som ikke har tilfredsstillende kvalitet, jf personopplysningslovens § 11 d og e. Det vises til kontrollrapportens pkt 6.2.3.
  4. Virksomheten må slette personopplysninger når det opprinnelige formålet med behandlingen er oppnådd, dersom det ikke finnes behandlingsgrunnlag for videre oppbevaring, jf personopplysningslovens § 11e jf§ 28. Det samme gjelder for personopplysninger som ikke er nødvendige og relevante for formålet med behandlingen. Det vises til kontrollrapporten pkt 6.2.4.
  5. Virksomheten må gi informasjon og innsyn i henhold til personopplysningslovens §§ 18 flg. Det vises til tilsynsrapportens pkt 6.2.5.
  6. Virksomheten må dokumentere tilfredsstillende informasjonssikkerhet ved at det utarbeides risikovurdering i samsvar med personopplysningsloven§ 13, jf. personopplysningsforskriften §§ 2-4. Det vises til tilsynsrapportens pkt. 6.3.2
  7. Virksomheten må etablere system for sikkerhetsrevisjon i samsvar med personopplysningsloven § 13, jf. personopplysningsforskriften §§ 2-5. Det vises til tilsynsrapportens pkt. 6.3.3.
  8. Virksomheten må etablere et system for håndtering av avvik og/eller sikkerhetsbrudd, jf. personopplysningsloven § 13, jf. personopplysningsforskriften §§ 2-6. Det vises til tilsynsrapportens pkt. 6.3.4.
  9. Virksomheten må etablere tilstrekkelig informasjonssikkerhet ved behandling av personopplysninger med behov for beskyttelse av konfidensialitet og integritet, jf. personopplysningsloven§ 13, jf. personopplysningsforskriften §§ 2-11 og 2-13. Dette omfatter personopplysninger som i dag lagres på filområde (rapporter, lydfiler, videofiler og annet). Det vises til tilsynsrapportens pkt. 6.3.5.3
  10. Selskapet må innen l. mars 2014 bekrefte skriftlig overfor Datatilsynet at påleggene som nevnt i punkt 1-9 er gjennomført. Manglende bekreftelse vil medføre at Datatilsynets konsesjon av 25. juli 2005 ikke lenger kan anses å være gyldig.
  11. Selskapet pålegges å betale et overtredelsesgebyr til statskassen, pålydende kroner seks hundre tusen, for å ha behandlet personopplysninger uten å etablere tilfredsstillende tiltak for å sikre at behandlingen skjer i tråd med personopplysningslovens bestemmelser og uten å sørge for tilfredsstillende informasjonssikkerhet ved behandlingen. Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. personopplysningslovens § 47a.

Gjensidige påklaget vedtaket. Klagen er begrenset til vedtakets punkt 2, 3 og 10.

Saken ble oversendt Personvernnemnda 18.12.2013. Klager ble orientert om dette i brev fra nemnda datert 10.1.2014, med frist til uttalelse innen 30.1.2014. Klager kommenterte klagen i brev av 30.1.2014 og 28.4.2014.

3 Faktum

Klager har påklaget vedtak fattet av Datatilsynet i forbindelse med en kontrollsak mot selskapet. Kontrollen gjaldt selskapets behandling av personopplysninger i forbindelse med utredningsvirksomhet, hvor formålet med behandlingen er å avdekke svik og forsøk på svik.

4 Klagers anførsler

Datatilsynet skiller ikke på en klar måte mellom Datatilsynets rolle som politisk pådriver for personvernspørsmål, Datatilsynets rådgivningsvirksomhet og Datatilsynets opptreden som et forvaltningsorgan med hjemmel til å gi pålegg. En stor del av begrunnelsen for påleggene som er gitt overfor Gjensidige blir derfor i oversendelsesbrevet knyttet sammen med at Datatilsynet mener at personopplysningsloven ikke er tilstrekkelig klar og ikke gir Datatilsynet tilstrekkelige virkemidler, jf f.eks. oversendelsesbrevets argumentasjon med hensyn til at personopplysningslovens § 9e muligens er i strid med EMK art 8. Det er derfor svært krevende å forholde seg til Datatilsynet som forvaltningsorgan i denne saken.

Datatilsynets vedtak av 20.9.2013 inneholder 11 separate vedtak som må vurderes hver for seg. Av disse er vedtak 2, 3 og 10 påklaget. Klagen er organisert i samsvar med dette.

Datatilsynet har i sin oversendelse systematisert merknadene til klagen og den ytterligere begrunnelsen for vedtaket på en noe annen måte. Klager mener det fortsatt er mest oversiktlig å kommentere det som fremkommer i oversendelsesbrevet ved bruk av den systematikk som Datatilsynet selv valgte i sitt vedtak og som Gjensidige fulgte opp i klagen.

Vedtak 2:
Virksomheten må ikke behandle personopplysninger i større utstrekning eller på annen måte enn det er behandlingsgrunnlag for, jf personopplysningsloven, jf personopplysningslovens § 11a og §§8 og 9. Det vises til kontrollrapportens pkt 6.2.2.

Vedtaket fremstår som et selvstendig vedtak vedrørende Gjensidiges konkrete behandling av personopplysninger. Det fastholdes at vedtak 2 da ikke tilfredsstiller vilkårene for å være et enkeltvedtak, og det vises til begrunnelsen i klagen.

Datatilsynet skriver i sitt oversendelsesbrev:

Når vi konstaterer brudd på lovens bestemmelser, må pålegget forstås som en beslutning om at selskapet må foreta visse handlinger for å bringe behandlingen i lovlige former.

Handlingene som Gjensidige skal foreta må imidlertid fremgå av pålegget. I dette tilfelle er pålegget bare en helt generell referanse til lovbestemmelser. Dette er ikke tilstrekkelig som vedtak. Dette gjelder selv om vedtaket også inneholder referanser til vedtaksbrevet og kontrollrapporten. I disse dokumenter gjøres det i stor utstrekning bare på et meget generelt grunnlag rede for Datatilsynets rettslige oppfatninger og standpunkter.

For at pålegget skal være et enkeltvedtak må det være konkret, dvs angi om Gjensidige skal unnlate å hente inn spesifikk informasjon, slette spesifikk informasjon osv. Denne forståelsen av hva et enkeltvedtak skal inneholde samsvarer med fjerde avsnitt i personopplysningsloven § 46 som lyder:

Datatilsynet kan gi pålegg om at behandling av personopplysninger i strid med bestemmelser i eller i medhold av denne loven skal opphøre, eller stille vilkår som må være oppfylt for at behandlingen skal være i samsvar med loven.

Hvis Datatilsynets vedtak skulle bli stående, vil det innebære at Datatilsynet nærmest har gjort at alle overtredelser av personopplysningsloven som Gjensidige eventuelt måtte gjøre blir straffbart. Dette strider helt mot det forhold at § 48 helt spesifikt angir det som er å anse som straffesanksjonerte overtredelse av personopplysningsloven. Det vises til personopplysningsloven § 48 som lyder:

Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt (…)
d) unnlater å etterkomme pålegg fra Datatilsynet etter § 12, §27, §28 eller§46, (…)

Med referanse til både vedtak 2 og 3 skriver Datatilsynet i sitt oversendelsesbrev for øvrig følgende:

Det kan etter vår oppfatning være vel så naturlig å se på dem som en utdypning eller konkretisering av punkt l om å etablere internkontroll for selskapets behandling av personopplysninger, slik at internkontrollen også skal omfatte rutiner knyttet til  grunnkravene i personopplysningslovens § 11.

At Datatilsynet egentlig har ment at vedtaket utelukkende er rettet mot internkontrollsystemet fremgår øverst på side 3 i oversendelsesbrevet hvor det heter:

Vi vil for øvrig bemerke at det ligger en bevisst vurdering bak vår praksis med å fatte generelle vedtak om å etablere et internkontrollsystem.

Også i en slik sammenheng er imidlertid vedtaket for generelt til å være et enkeltvedtak etter forvaltningsloven. Og uansett – hvis Datatilsynets mening med vedtak 2 var utelukkende å konkretisere punkt 1 i vedtaket – så må vedtaket også av denne grunn oppheves. Det må klart fremgå av vedtaket at pålegget utelukkende er knyttet til utformingen av Gjensidiges internkontrollsystem. Det vil da også være klart at det pr i dag ikke foreligger noe pålegg fra Datatilsynet om at Gjensidige skal endre sin konkrete praksis når det gjelder behandlingen av personopplysninger.

For ordens skyld så påpekes det at Gjensidige til enhver tid vil håndtere personopplysninger i samsvar med sine internkontrollprosedyrer. Dette gjelder også endringer i internkontrollprosedyrene som allerede er innarbeidet, og som heretter eventuelt innarbeides etter pålegg fra Datatilsynet.

Klager er for øvrig enig med Datatilsynet når tilsynet i oversendelsesbrevet skriver at lovens krav om internkontroll og informasjonssikkerhet kan ivaretas på mange ulike måter, og at det er den behandlingsansvarlige som står nærmest til å vurdere hvordan virksomheten på en hensiktsmessig måte ivaretar disse pliktene. Datatilsynet skal selvfølgelig heller ikke beskrive en fullstendig internkontroll. Dette endrer imidlertid ikke det forhold at når Datatilsynet skal gi pålegg, så må pålegget være konkret.

Datatilsynet må selvfølgelig stå fritt til selv å finne en hensiktsmessig form vedrørende sin tilsynsoppgave. Klagesaken handler imidlertid ikke om hvorvidt et vedtak er vanskelig tilgjengelig eller ikke.

Når det spesifikt gjelder grunnlaget for den behandling av personopplysninger som skjer i forbindelse med Gjensidiges utredningsvirksomhet så skriver Datatilsynet avslutningsvis om sin lovforståelse:

Det å benytte skjult observasjon og skjult lyd- og videopptak for å dokumentere noens helseforhold er et så inngripende tiltak, at rettskravalternativet ikke kan benyttes. Dette er en type tiltak som krever hjemmel i egen lov, jf § 9 bokstav a.

Ut fra Datatilsynets redegjørelse for sin oppfatning av innholdet i vedtak 2, må vi forstå det slik at Datatilsynet med sitt vedtak mener å gi et pålegg om at Gjensidige i sitt internkontrollsystem enten unnlater å si noe om lyd- og videopptak, underforstått at Gjensidige ikke åpner for dette i noe tilfelle i forbindelse med sin utredningsvirksomhet, alternativt spesifikt angir at skjult lyd­ og videopptak skal være forbudt i forbindelse med utredningsvirksomheten.

I realiteten sier Datatilsynet dermed at Gjensidige aldri skal kunne påberope seg § 9e som grunnlag for skjult lyd- og videopptak fordi dette er for inngripende. Datatilsynet har ikke grunnlag for sitt standpunkt. Datatilsynet angir selv at det i bestemmelsens nødvendighetskrav ligger et krav om at det må foretas en interesseavveining. En slik interesseavveining må gjøres konkret i det enkelte tilfellet. Størrelse på beløp, graden av mistanke om svik, hva som filmes, hvor det filmes osv må tas med i vurderingen.

Datatilsynet legger også til grunn at opptak i tilknytning til utredningsvirksomheten vil være helseopplysninger og således sensitiv informasjon hvor hjemmelsgrunnlaget også må være § 9 i personopplysningsloven. Vi er ikke enig i dette. Observasjon og filming i relasjon til foretatte observasjoner dokumenterer bare den faktiske funksjonsevne og skjer for å kontrollere hvorvidt den faktiske funksjonsevnen er i samsvar med forsikringstakerens egen faktabeskrivelse. Skulle dette likevel bli sett på som helseinformasjon, vil det i interesseavveining etter § 9 uansett måtte tas med i vurderingen hva slags helseinformasjon dette gjelder.

Datatilsynets standpunkt er heller ikke i samsvar med den lovforståelsen som domstolene legger til grunn. Det vises til de avgjørelser som ble vedlagt klagen. Det vises også til kjennelse fra Oslo tingrett av 2.1.2014.

Når det for øvrig gjelder det som Datatilsynet angir under pkt 3.2 i sitt oversendelsesbrev skal det bemerkes følgende:

  • Datatilsynets henvisning til legalitetsprinsippet blir misvisende i denne sammenheng. Legalitetsprinsippet som sådan gjelder innenfor forvaltningsrettens og strafferettens område. Ved å nekte rettssubjekter å innhente informasjon skjer det en begrensing i forhold til vedkommende rettssubjekts handlefrihet. Legalitetsprinsippet er imidlertid oppfylt blant annet ved at denne begrensningen er nedfelt i personopplysningsloven. Vi finner ikke at det er grunn til å gå ytterligere inn på denne juridiske forståelsen av legalitetsprinsippet i dag. Det er ingen uenighet om at personopplysningsloven fastsetter at behandlingen av personopplysninger må skje i samsvar med loven.
  • Det som er angitt i avsnittet foran nevnes utelukkende fordi Datatilsynet foretar en henvisning til EMK art 8, og at det derfor er et behov for å sette dette i sin rette juridiske sammenheng. EMK retter seg mot stater. I saken EMD Von Hannover mot Tyskland som Datatilsynet henviser til så ble Tyskland dømt for ikke å ha sørget for lovgivning som kunne beskytte den enkeltes private sfære i den grad som EMK krever. Dette har ingen relevans i klagesaken. Også etter EMK 8 vil det måtte foretas en interesseavveining helt på linje med den avveining som må skje etter personopplysningsloven. En annen sak er at ved den interesseavveiningen som også Datatilsynet må akseptere at skal skje etter § 9e, så vil det være relevant at den konkrete interesseavveiningen loven gir anvisning gjøres slik at Norge oppfyller sin forpliktelse med hensyn til å ha fastsatt en lovgivning som i tilstrekkelig grad beskytter den private sfære.
  • I pkt 3.2.2 foretar Datatilsynet en generell vurdering av utredningsvirksomheten. Denne vurderingen har ikke noen relevans i forhold til klagesaken. Datatilsynet legger selv til grunn at Gjensidiges generelle utredningsvirksomhet vil kunne være lovlig etter personopplysningsloven. Dette spørsmålet er derfor ikke påklaget. Det kan selvfølgelig oppstå en situasjon hvor Datatilsynet er av den oppfatning at Gjensidiges rutiner omkring den generelle utredningsvirksomheten er beskrevet slik at den konkrete anvendelsen ikke vil være i samsvar med personopplysningsloven. Det kan igjen føre til at Datatilsynet gir et konkret pålegg om innholdet i klagers internkontrollsystem, som Gjensidige så igjen kan påklage dersom selskapet er uenig.
  • Hvorvidt Datatilsynet mener at § 9e oppfyller EMK art 8 eller ikke, er imidlertid ikke relevant for klagesaken. Hvis ikke § 9e er i samsvar med EMK art 8, så kan Norge evt bli dømt av EMD (hvis noen velger å reise sak mot Norge for EMD) for ikke å ha sikret tilstrekkelig lovgivning. Det er imidlertid en helt annen problemstilling enn den som klagesaken gjelder, men det skal likevel påpekes at borgerne i Norge er beskyttet gjennom strenge regler for behandling av personopplysninger og at den interesseavveiningen som skal gjøres etter § 9e også gjør at lovverket bare vil tillate behandling som er strengt nødvendig og sikrere borgerne proporsjonalitet i den behandlingen som foretas slik at kravene i EMK art 8 vil være oppfylt.
  • I pkt 3.2.3 foretar Datatilsynet vurderingen av skjult observasjon, skjult lyd­ og bildeopptak i forhold til § 9e. Overskriften til punktet indikerer at Datatilsynet utelukkende vurderer om § 9e er anvendelig eller om det kreves særskilt lov. Datatilsynet angir dermed på generelt grunnlag at det ikke er adgang til en konkret interesseavveining etter § 9e når det gjelder slike forhold.  Dette er feil lovanvendelse. Som begrunnelse henviser Datatilsynet til at de samme forhold som er påberopt under pkt 3.2.2 gjør seg i enda sterkere grad gjeldende for skjult observasjon mv. Pkt 3.2.2 er Datatilsynets begrunnelse for at personopplysningsloven § 9e kan være i strid med EMK art 8. Når denne henvisningen benyttes i pkt 3.2.3 må den forstås slik at Datatilsynet mener at det å hjemle skjult observasjon etc i § 9e alltid vil innebære at lovgivningen i Norge ikke er tilstrekkelig til å verne den private sfæren i samsvar med EMK art 8. Dette er ikke riktig. Etter EMK art 8 må det som nevnt også foretas en konkret interesseavveining som er helt sammenfallende med den interesseavveining som må foretas etter personopplysningsloven. Det foreligger ikke grunnlag for å hevde at all skjult observasjon mv vil innebære en overtredelse av den private sfære etter EMK.
  • Det presiseres imidlertid at det ikke en noen uenighet om at Gjensidiges interesse i å innhente personopplysninger må være sterkere begrunnet dess mer inngripende et tiltak er. Klagesaken dreier seg imidlertid ikke om dette. Den dreier seg utelukkende om hvorvidt Datatilsynet på helt generelt grunnlag kan nekte Gjensidige i å angi en interesseavveining i sitt internkontrollsystem. Klager mener at Datatilsynet ikke har en slik adgang.
  • Det er riktig som Datatilsynet angir at domstolene i enkelte avgjørelser har angitt at spesifikke videopptak osv er fremskaffet på utilbørlig måte og således nektet bevisføring. Dette er imidlertid på helt spesifikke rettsområder som er helt annerledes enn det klagesaken gjelder. Domstolene foretar dessuten da en slik interesseavveining som ligger i § 9e.
  • Datatilsynet støtter seg i tredje siste avsnitt på side 10.2 til Politimetodeutvalgets uttalelse i NOU 2004: 6. Henvisningen er misvisende. I innledningen i pkt 10.2.1 sier utvalget:
  • I den utstrekning politiet bruker forebyggende metoder over noe lenger tid, har metodebruken vært basert på den «alminnelige handlefrihet» som hjemmel. Dette gjelder de observerende metoder som overvåking, spaning og sparing og de manipulerende metoder som infiltrasjon og provokasjon.  I praksis har grensene for hva politiet kan foreta seg vært trukket ved det straffbare. Det har endog vært hevdet at den uskrevne rettsstridsreservasjon i noen grad åpner for at politiet kan begå straffbare handlinger som ett ledd i polititjenesten. Når norsk rett i tillegg har trukket snevre grenser for hvilke inngrep i den private sfære som rammes av straffebestemmelser, er resultatet blitt at politiet har hatt anledning til å gå langt med den alminnelige handlefrihet som hjemmel, se kapittel 4.4.
  • På denne bakgrunn vurderes det hvorvidt politiets metodebruk bør lovreguleres. Politimetodeutvalget valgte ut fra en rekke forhold å foreslå lovregulering av metodene. Disse vurderingene er imidlertid ikke relevante som begrunnelse for å angi at Gjensidiges praksis med i enkelte unntakstilfeller å foreta skjult observasjon mot en konkret person etc når det foreligger begrunnet mistanke om svik vil være i strid  med EMK art 8, og således forbudt etter personopplysningsloven § 9e. På denne bakgrunn blir heller ikke henvisningen til kontrollbestemmelser for Tollvesenet eller hva Datatilsynet mener Stortinget bør vurdere særlig relevant.
  • Klager fastholder således at det ikke kan være særlig tvilsomt at personopplysningsloven § 9e kan hjemle skjult observasjon mv. Hvorvidt det i konkrete tilfeller vil være adgang til dette, vil måtte avgjøres ut fra en interesseavveining hvor også forhold som EMK art 8 er ment å ivareta kommer inn i vurderingen.

Vedtak 3:
Virksomheten må ikke behandle personopplysninger som ikke er nødvendig og relevante for formålet med behandlingen, eller som ikke har tilfredsstillende kvalitet, jf. personopplysningslovens § 11 d og e. Det vises til kontrollrapportens pkt. 6.2.3.

Det fastholdes at dette vedtaket ikke oppfyller kravene til et enkeltvedtak i forvaltningsloven og at det dermed må utgå. Som begrunnelse vises det til klagen og til det som er angitt foran i pkt 2 om dette spørsmålet i tilknytning til vedtak 2. Dersom Datatilsynets mening utelukkende har vært å si noe om hva Gjensidiges internkontrollsystem må inneholde, så må også vedtaket oppheves av den grunn. Også her vises det til den begrunnelsen som er angitt foran i pkt 2.

Datatilsynet har truffet et pålegg om Gjensidiges behandling av personopplysninger med utelukkende å foreta en henvisning til loven. Datatilsynet henviser så i tillegg til pkt 6.2.3 som inneholder Datatilsynets anbefalinger, synspunkter, problemstillinger, lovforståelse samt noen konkrete krav til hva kontrollsystemet skal omfatte. Klagers poeng er at selve vedtaket må oppheves fordi det ikke tilfredsstiller kravene til et enkeltvedtak. I klagen har Gjensidige imidlertid også sett det naturlig å kommentere enkelte av de synspunkter som Datatilsynet legger til grunn for sin virksomhet. Klager synes det er naturlig at Personvernnemda i klagesaken også tar Gjensidiges vurderinger av sitt internkontrollsystem.

Det fremkommer ikke av vedtaksbrevet eller rapporten at Datatilsynet pålegger Gjensidige på          generelt grunnlag å stanse sin praksis i forbindelse med utredningsvirksomheten ut fra nødvendighet, relevans og kvalitet ved utredningsvirksomheten, jf personopplysningsloven § 11. Datatilsynet uttaler seg heller ikke kategorisk om dette. I pkt 6.2.3.5 i kontrollrapporten skriver Datatilsynet på side 14:

Det er først og fremst den behandlingsansvarlige som skal vurdere hvilke opplysninger som er relevante og nødvendige for den aktuelle behandlingen. Det er også den behandlingsansvarlige som skal vurdere hvorvidt en opplysning har  tilfredsstillende kvalitet  for  det  formålet den behandles for. Disse vurderinger skal reflekteres i de rutiner som pliktes etablert ...........

I kontrollrapportens pkt 6.2.3.3 synes heller ikke Datatilsynet å ha konkrete merknader til Gjensidiges dokument «Retningslinjer for bruk av observasjon som metode ved utredning og bruk av foto/video som dokumentasjon».

I kontrollrapporten vurderte Datatilsynet to saker hvor Gjensidige i den ene saken hadde benyttet filming som metode. I tilknytning til dette uttrykker Datatilsynet på side 4 i vedtaksbrevet følgende:

Innledningsvis vil Datatilsynet understreke at det ikke har tatt stilling til nødvendigheten og relevansen av de opplysningene som var registrert i de to enkeltsakene som det ble gitt innsyn i, og som har vært referert i pressen.

I oversendelsesbrevet synes Datatilsynet nettopp å ta stilling til forholdet. Avslutningsvis i pkt 4 skriver Datatilsynet:

Det må derfor kunne antas at gjeldende bestemmelser forsikringsavtaleloven gir tilfredsstillende muligheter for selskapene til å opplyse helseforhold i konkret sak, og at bruk av skjult observasjon og skjult lyd- og bildeopptak derved ikke er nødvendig i denne forbindelse.

Klager er av den oppfatning at Datatilsynet her tar feil. Det bes om Personvernnemndas vurdering av dette. Dersom Personvernnemnda skulle være enig i Datatilsynets juridiske vurderinger og eventuelt også opprettholde vedtak 3, så bes Personvernnemnda klargjøre om vedtak 3 da isolert sett også skal sees på som et konkret pålegg om stans av alle lyd- og billedopptak. Klager mener at vedtak 3 ikke kan forstås slik, jf Datatilsynets egen begrunnelse hvor Datatilsynet synes mene at dette bare skal forstås som et krav til internkontrollsystemet.

For øvrig så referer Datatilsynet i oversendelsesbrevet i stor utstrekning til NAVs kontrollmulighet osv og viser blant annet til folketrygdlovens § 21-4a. Dette blir også lite relevant. Bestemmelsen det refereres til er først og fremst ment å hjemle NAVs rett til kreve opplysninger fra tredjeparter og gjennomføre kontroller også hos disse. Bestemmelsen står i tilknytning til en rekke andre bestemmelser som gir NAV utstrakte muligheter som Gjensidige ikke har og som er svært inngripende.  Det at lovgiver så ikke har lovregulert NAV sin rett til å foreta utredninger, filming etc kan ikke brukes som argumenter for at Gjensidiges meget begrensede bruk av observasjon med nedtegning og lagring av det som observeres (eventuelt filming) skal være forbudt. Sammenlign for øvrig forholdet rundt Politimetodeutvalget som er omtalt i pkt 2 foran hvor utvalget foreslo å regulere metodebruken i politiet nettopp fordi «alminnelige handlefrihet» la få begrensninger på politiet.

Vedtak 10:
Selskapet må innen 1. mars 2014 bekrefte skriftlig overfor Datatilsynet at påleggene som nevnt i punkt 1-9 er gjennomført. Manglende bekreftelse vil medføre at Datatilsynets konsesjon av 25. juli 2005 ikke lenger kan anses å være gyldig.

Bortsett fra at punkthenvisningene i vedtakets første setning må endres dersom Gjensidiges klage på punkt 2 og 3 tas til følge, gjelder klagen reelt sett bare andre setning. Denne setningen fremstår ikke som noe vedtak, men som en ren opplysning.

I oversendelsesbrevet angir Datatilsynet at Datatilsynet har hatt grunnlag for å trekke tilbake konsesjonen i medhold av både forvaltningsloven § 35 første avsnitt litra c og personopplysningsloven § 46. Det at Datatilsynet hjemler det betingede vedtaket om tilbaketrekking av konsesjonen i personopplysningsloven er nytt for Gjensidige. Dette nødvendiggjør merknader vedrørende Datatilsynets saksbehandling.

I varsel om vedtak av 17. juni 2013 ble det i pkt 2 varslet om at Datatilsynet ville trekke tilbake konsesjonen som var gitt til Gjensidige den 25.7.2005. Dette var utelukkende en varsling og således ikke noe vedtak. Hjemmelen for å trekke tilbake konsesjonen ble ikke oppgitt.

Det er av helt sentral betydning for Gjensidige at det ikke skapes usikkerhet omkring selskapets rett til å drive forsikringsvirksomhet, og å behandle personopplysninger. At Gjensidige, som andre, kan trå feil i vurderinger etter personopplysningsloven er et helt annet forhold, enn når Datatilsynet skaper usikkerhet omkring Gjensidiges mulighet til å drive forsikringsvirksomhet. Gjensidige reagerte på dette og i sin uttalelse vedla selskapet også en utredning som påviste at Datatilsynet ikke har adgang til å tilbakekalle konsesjonen etter personopplysningsloven når dette ikke er fastsatt som virkemiddel i personopplysningsloven § 46. I en rekke andre konsesjonslover er det, som påvist i utredningen, lovfestet spesifikt at man kan tilbakekalle konsesjon.

Da Datatilsynet traff sitt endelige vedtak vedrørende konsesjonsspørsmålet oppfattet Gjensidige ikke dette som et vedtak om tilbaketrekking av konsesjonen. Andre setning i vedtak 10 er ikke formulert som et vedtak. I vedtaksbrevet anføres det utelukkende at Datatilsynet er av den oppfatning at Datatilsynet mener at Datatilsynet har hjemmel til trekke konsesjonen tilbake etter forvaltningsloven § 35 første ledd litra c. Begrunnelsen fra Datatilsynet var følgende, jf side 16 vedtaksbrevet:

I dette tilfelle mener imidlertid Datatilsynet at det foreligger en tilblivelsesmangel ved konsesjonsvedtaket, som medfører at det blir ugyldig og derved kan gjøres om etter forvaltningsloven § 35 første ledd litra c.

Datatilsynet påberoper seg således en tilblivelsesmangel, samtidig som Datatilsynet viser til at

tilsynet har en klar hjemmel i personopplysningslovens § 46 til å pålegge opphør av en ulovlig behandling

Personopplysningsloven ble således ikke påberopt som grunnlag for å kunne tilbaketrekke konsesjonen.

Gjensidige oppfattet derfor andre setning i vedtaket utelukkende som en ren informasjon om en lovforståelse. Gjensidige var svært kritisk til en slik håndtering av vitale spørsmål for selskapet.  Gjensidige fant likevel bare å ville påpeke sin forståelse av vedtaket i klagen.

I e-mail av 5.12.2013 kl. 13:34 informerte Datatilsynet Gjensidige om at vedtaksbrevet måtte forstås slik at det det var truffet betinget vedtak om bortfall av konsesjonen. Hjemmelsgrunnlaget ble ikke angitt og Gjensidige har lagt til grunn at Datatilsynet dermed mente å ha truffet et vedtak etter forvaltningsloven § 35 første ledd litra c. Gjensidiges supplering til klagen med imøtegåelse i forhold til forvaltningsloven § 35 første ledd litra c ble gitt i Gjensidiges brev av 10.12.2013.

På denne bakgrunn må det være klart at Datatilsynets betingede vedtak ikke er truffet med hjemmel i personopplysningsloven § 46. Det er uforståelig for klager at Datatilsynet på side 13 i oversendelsesbrevet kan mene at innledningen av vedtaket er en tilstrekkelig påvisning av at vedtaket er truffet i medhold av § 46.

Datatilsynet kan i og for seg være av den oppfatning at personopplysningsloven
§ 46 hjemler en mulighet til å trekke tilbake konsesjonen, men vedtaket ble åpenbart ikke vurdert i forhold til denne bestemmelsen da det ble truffet. Hvis Personvernnemnda er av den oppfatning at forvaltningsloven § 35 første ledd litra c ikke hjemler tilbaketrekking av konsesjonen i dette tilfelle, så må Datatilsynets vedtak derfor oppheves slik at det eventuelt blir foretatt en ny behandling hvor Datatilsynet foretar en vurdering etter personopplysningsloven § 46.

Forøvrig mener klager uansett at personopplysningsloven § 46 ikke hjemler tilbaketrekking av konsesjonen.

Datatilsynet skriver videre på side 13 i oversendelsesbrevet:

Vi beklager at vi i saksbehandlingen ikke har vært tydelig med hensyn til det rettslige grunnlaget for tilbaketrekkingen

Datatilsynet har ikke vært tydelig på hvorvidt det er truffet et reelt enkeltvedtak eller ikke. Datatilsynet har imidlertid ikke vært uklar med hensyn til hjemmelen for tilbaketrekking. Det vises til formuleringen i vedtaksbrevet som knytter forvaltningsloven § 35 første avsnitt litra c til spørsmålet om tilbaketrekking og spørsmålet om å gi pålegg til personopplysningsloven § 46.

I forhold til de to hjemmelsgrunnlag som Datatilsynet påberoper seg for sitt betingede vedtak om tilbaketrekking av konsesjonen skal det for øvrig gis følgende tilleggsmerknader:

  • Pålegg om opphør etter personopplysningsloven § 46:

Det er ingen uenighet om at Datatilsynet kan gi pålegg om at en ulovlig behandling skal opphøre. Dette er imidlertid ikke relevant i forhold til spørsmålet om å trekke en konsesjon tilbake.

Datatilsynet skriver på side 16 i vedtaksbrevet:

Datatilsynet er enig i at det å trekke tilbake en tillatelse, som reaksjon på lovstridige handlinger, etter omstendighetene kan være å anse som en straffesanksjon som krever hjemmel i lov.

I dette tilfelle mener imidlertid Datatilsynet det det foreligger en tilblivelsesmangel ved konsesjonsvedtaket.....

Dette kan vanskelig forstås annerledes enn at Datatilsynet mener at hvis det ikke foreligger tilblivelsesmangel så kreves det hjemmel i lov. Dette er klager enig i, men tilblivelsesmangelen er bare relevant i forhold til forvaltningsloven § 35 første avsnitt litra c og ikke personopplysningsloven § 46.

Paragraf 46 hjemler ikke at konsesjonen kan trekkes tilbake som en sanksjon mot en overtredelse. Det foreligger derfor heller ikke noen hjemmel i loven for å trekke konsesjonen tilbake. Legalitetsprinsippet som Datatilsynet er underlagt er derfor ikke oppfylt.

Klager kan heller ikke se at hensynet til Gjensidige er tilfredsstillende ivaretatt slik Datatilsynet skriver øverst på side 14 i oversendelsesbrevet. Hvis det betingede vedtaket skal forstås slik Datatilsynet mener, så betyr det at konsesjonen er trukket tilbake dersom Gjensidige ikke har et internkontrollsystem i samsvar med loven eller for øvrig ikke behandler personopplysninger i samsvar med regelverket. Dette må også sees i lys av at Datatilsynet selv mener at personopplysningsloven inneholder en rekke skjønnsmessige vurderinger. Som følge av dette kan det selvfølgelig hende at Gjensidige i visse situasjoner trår feil i tolkningen i forhold til det som etter Datatilsynets oppfatning er lovens krav. Det vil være helt umulig for Gjensidige å forholde seg til at konsesjonen da automatisk skal anses for være trukket tilbake.

Det er da heller ingen av Gjensidiges konkurrenter som har et slikt krav på seg. Det bryter med likebehandling i forhold til selskapene og Datatilsynet får gjennom et slikt vedtak et helt generelt virkemiddel spesifikt i forhold til Gjensidige dersom selskapet ikke overholder pålegg hjemlet i personopplysningsloven § 46.

Dersom Datatilsynet mente å ha hjemmel til å trekke tilbake konsesjonen så ville det korrekte alternativet ha vært å avvente dette spørsmålet inntil det ble klarlagt hvorvidt Gjensidige etterkom Datatilsynets pålegg. Først da kunne det vurderes hvilke konkrete forhold som ikke var i samsvar med Datatilsynets pålegg, og som kunne begrunne en så vidtgående sanksjon fra Datatilsynet som det å trekke tilbake konsesjonen.

For øvrig vises det til det som det er redegjort for i Gjensidiges brev av 30.7.2013 og til notatet som fulgte vedlagt brevet.

  • Forvaltningsloven § 35 første avsnitt litra c:

Datatilsynet skriver i sitt oversendelsesbrev at:

Vi vil understreke at vi ikke har vurdert konkludert med hensyn til om konsesjonen var ugyldig allerede på vedtakstidspunktet, slik selskapet synes å legge til grunn.

Når Datatilsynet ikke konkluderer på dette punktet, så betyr det at Datatilsynet er pliktig til å legge til grunn for sin vurdering at internkontrollsystemet hos Gjensidige var i samsvar med personopplysningsloven i 2005. Det foreligger da ikke grunnlag for noen beslutning etter forvaltningsloven § 35 første avsnitt litra c.

I fortsettelsen av dette synes Datatilsynet å legge til grunn at det i denne saken likevel kan treffes vedtak om omgjøring etter nevnte bestemmelse dersom konsesjonsvilkår ikke er overholdt eller personopplysningsloven er overtrådt etter 2005. Dette er ikke riktig lovanvendelse. Det siste er et spørsmål om tilbaketrekking av en gyldig gitt konsesjon som må avgjøres ut fra hvorvidt det foreligger spesifikk lovhjemmel for slik tilbaketrekning. Slikt lovgrunnlag finnes ikke i forhold til konsesjoner etter personopplysningsloven, og det vises i den forbindelse til den redegjørelsen som er gitt i Gjensidiges brev av 30.7.2013 med vedlegg og Gjensidiges supplerende klage av 10.12.2013.

5 Datatilsynets vurdering

5.1 Om vedtakets punkt 2 og 3 – grunnkravene i § 11
I klagen bestrider selskapet at vedtakets punkt 2 og 3 representerer enkeltvedtak i tråd med forvaltningsloven § 2, første ledd bokstav b. Selskapet viser i den forbindelse til at pålegget ikke sier noe mer enn det som følger direkte av loven, og derved ikke i seg selv er
«bestemmende for selskapets rettigheter og plikter».

Datatilsynet forstår at selskapet stiller spørsmål ved om disse punktene isolert representerer enkeltvedtak. Det kan etter tilsynets oppfatning være vel så naturlig å se på dem som en utdypning eller konkretisering av punkt l om å etablere internkontroll for selskapets behandling av personopplysninger, slik at internkontrollen også skal omfatte rutiner knyttet til grunnkravene i personopplysningslovens § 11. Rettsvirkningen er den samme, som om det forelå flere separate vedtak.

At punktene 1 til 11 samlet utgjør et enkeltvedtak kan det etter tilsynets vurdering ikke være tvil om. Påleggene må ses samlet, og leses i lys av de vurderinger og konklusjoner som gis i den kontrollrapporten som følger vedtaket, og som det vises konkret til. Der beskriver tilsynet nærmere hvilke faktiske forhold som legges til grunn. Tilsynet beskriver også hvilke konkrete bestemmelser som kommer til anvendelse, og hvordan tilsynet tolker disse. Endelig følger tilsynets subsumpsjon med hensyn til hvorvidt bestemmelsene er brutt eller ikke. Når det konstateres brudd på lovens bestemmelser, må pålegget forstås som en beslutning om at selskapet må foreta visse handlinger for å bringe behandlingen i lovlige former. Det besluttes i tillegg at selskapet skal gi tilsynet en erklæring om at disse handlingene er gjennomført. Endelig er det satt en konkret frist for ovennevnte. Samlet sett utgjør dette et pålegg som er bestemmende for den behandlingsansvarliges plikter, og derved representerer et enkeltvedtak.

Tilsynet vil for øvrig bemerke at det ligger en bevisst vurdering bak praksisen med å fatte generelle vedtak om å etablere et internkontrollsystem.

Det vises for det første til at det er den behandlingsansvarliges vurderinger som skal reflekteres i internkontrollsystemet. Ofte vil det være en forutsetning at man har fagkunnskap både om den aktuelle behandlingen og det omkringliggende regelverk, for å vurdere hvordan lovens grunnkrav kan ivaretas ved en konkret behandling. Dersom en kontroll avdekker at den behandlingsansvarlige ikke har gjort de nødvendige vurderingene, eller at de er mangelfulle eller uriktige, overlater vi derfor til den behandlingsansvarlige selv å gjøre vurderingene (på nytt).

Videre vises det til at lovens krav om internkontroll og informasjonssikkerhet kan ivaretas på mange ulike måter. Det er den behandlingsansvarlige som står nærmest til å vurdere hvordan virksomheten på en hensiktsmessig måte ivareta disse pliktene.

Endelig vises det til at tilsynet ikke har nødvendige ressurser til å beskrive en fullstendig internkontroll, eller gi nærmere bestemmelser for informasjonssikkerheten i den enkelte virksomhet.

Tilsynet tilbyr selvsagt løpende veiledning til den kontrollerte virksomheten, med hensyn til hvordan de skal innrette seg for å oppfylle personopplysningslovens krav i fremtiden.

Selv om denne type vedtak kan være vanskelig tilgjengelige, slik Gjensidige peker på i sin klage, mener tilsynet allikevel at dette er den mest hensiktsmessige måten å gå frem på. Tilsynet mener også at praksisen er i tråd med forvaltningslovens bestemmelser og ulovfestede prinsipper for god forvaltningsskikk.

5.2 Om vedtakets punkt 10 – bortfall av konsesjonen
I klagen skriver selskapet at det ikke oppfatter punkt 10 i vedtaket som et vedtak, men en opplysning. Selskapet mener at bortfall av konsesjon må fattes særskilt og med selvstendig klagerett når en eventuell situasjon oppstår. Datatilsynet mener at det ble fattet et betinget vedtak om bortfall av konsesjon, den 20. september 2013.

5.3 Krav om behandlingsgrunnlag
Dette spørsmålet gjelder rekkevidden av personopplysningsloven § 9 bokstav e, for selskapets behandling av opplysninger om helseforhold i forbindelse med selskapets utredning av om det foreligger svik eller forsøk på svik i enkeltsak.

5.3.1 Datatilsynets vedtak
5.3.1.1 Lovforståelsen
I vedtaket la Datatilsynet til grunn at personopplysningslovens § 11, jf §§ 8 og 9 kommer til anvendelse på selskapets utredningsvirksomhet.

Tilsynet vurderte det slik at utredningsvirksomheten kan i hjemles i § 9 bokstav a (lovhjemmel), for den delen som er nærmere beskrevet i forsikringsavtaleloven. Utredningsvirksomhet som går utover det som er særskilt hjemlet kan ha behandlingsgrunnlag i § 9 litra e (rettskravalternativet), dersom behandlingen er nødvendig og forholdsmessig idet enkelte tilfellet.

Det å benytte skjult observasjon og skjult lyd- og videopptak for å dokumentere noens helseforhold er et så inngripende tiltak, at rettskravalternativet ikke kan benyttes. Dette er en type tiltak som krever hjemmel i egen lov, jf § 9 bokstav a.

5.3.1.2 Det faktiske grunnlaget
Tilsynet la selskapets utredningsvirksomhet, slik den er beskrevet i kontrollrapporten, til grunn for tilsynets vurderinger av hvilket behandlingsgrunnlag som kreves. I klagen har selskapet gitt en beskrivelse som avviker noe fra dette.

Tilsynet antar at selskapet her beskriver en «best practice», og at det er denne som nå ønskes vurdert opp mot vilkårene i personopplysningsloven § 9 litra e. I det følgende legger tilsynet derfor til grunn at skjult observasjon og skjult lyd- og bildeopptak bare skjer som beskrevet av selskapet i de tilfeller hvor det foreligger kvalifisert mistanke om svik eller forsøk på svik, at observasjonen er dokumentbasert og ledelsesforankret, og bare iverksettes når andre metoder er prøvd – uten at det har opplyst saken tilfredsstillende. Det er uansett tilsynets lovanvendelse som er påklaget.

5.3.2 Selskapets anførsler og tilsynets vurderinger
5.3.2.1 Hvorvidt legalitetsprinsippet gjelder
I klagen anføres det at legalitetsprinsippet ikke gjelder i dette tilfellet. Det vises til at vi ikke er på forvaltningsrettens eller strafferettens område, men på privatrettens område.

Tilsynet er av den oppfatning at personverndirektivet kan sies å oppstille et legalitetsprinsipp, som er kodifisert i norsk rett gjennom personopplysningslovens§ 11 jf 8 og 9. Bestemmelsene må forstås slik at det er forbudt å behandle personopplysninger, med mindre det foreligger et behandlingsgrunnlag. Hvilket behandlingsgrunnlag som kreves i det enkelte tilfellet må bero på en konkret vurdering av hvor tungt tiltaket griper inn i den registrertes personvern: jo mer inngripende tiltaket er, jo sterkere og klarere må behandlingsgrunnlaget være.

Tilsynet vil også peke på EMK art 8, hvoretter inngrep i den enkeltes private sfære krever hjemmel i lov. Lovkravet er relativt, slik at kravet til lovens klarhet og styrke vil variere med inngrepets art og omfang. Bestemmelsen pålegger staten en positiv plikt til å etablere tiltak for å sikre den enkeltes rett til privatliv, i enhver relasjon. Lovkravet gjelder ikke bare for slike inngrep som staten selv utfører, men også for inngrep som virksomheter og privatpersoner kan tenkes å utføre. Også personopplysningslovens bestemmelser må leses i lys av vilkårene i denne arten.

5.3.2.2 Hvorvidt utredningsvirksomhet kan ha grunnlag i § 9 bokstav e eller krever hjemmel i egen lov
Utredningsvirksomhet har ikke et fast definert innhold, og vil kunne omfatte mer eller mindre inngripende tiltak, som innebærer en behandling av personopplysninger med det formål å fastslå et forsikringskrav eller å avdekke svik eller forsøk på svik.

Utredningsvirksomheten er bare delvis kontrollert og beskrevet i kontrollrapporten. Rapporten gjelder direkte bare ett selskap, og bare deler av utredningsvirksomheten er behandlet særskilt (saker som gjelder medisinske forhold). Det reelle omfanget og den faktiske metodebruken i bransjen er derved delvis uavklart.

Forsikringsbransjens utredningsvirksomhet har vokst gradvis frem, i regi av selskapene selv og med støtte fra bransjens organisasjoner, uten at lovgiver har vært direkte involvert.

Utredningsvirksomheten har heller ikke vært beskrevet nærmere for tilsynet i forbindelse med selskapenes søknader om konsesjon til forsikringsvirksomhet, jf personopplysningsforskriftens § 7-2. Tilsynet har derved ikke hatt grunnlag for å regulere slik virksomhet nærmere i forsikringskonsesjonen.

Bransjen har vært åpen om at den bedriver denne type virksomhet, både gjennom mange oppslag i pressen om resultater av slike utredninger og gjennom at bevis som er hentet inn gjennom utredningsvirksomhet er lagt frem for domstolene. Omfang og metodebruk har vært, og er, under stadig utvikling.

Datatilsynet antar at bransjen langt på vei har god støtte i befolkningen, hos domstolene, hos lovgiver og i det politiske miljøet, for slik virksomhet. Også tilsynet mener at selskapenes interesser er klart berettigede, og har derfor lagt til grunn at utredningsvirksomhet i en viss utstrekning er lovlig.

At utredningsvirksomheten i praksis kan gripe tungt inn i personvernet til den som får sine forhold utredet, og til personer i dennes omkrets, er på det rene. Det vises her blant annet til at domstolene i flere tilfeller har funnet at utredningen har vært gjennomført på utilbørlig måte, jf tvisteloven § 22-7.

Tilsynet mener at det er grunn til å stille spørsmål ved om personopplysningsloven § 9 bokstav e tilfredsstiller lovkravet i EMK art 8 og personopplysningsloven§ 11, for selskapets utredningsvirksomhet som sådan. De beste grunner taler for at utredningsvirksomheten undergis en klarere regulering og demokratisk forankring. Dette begrunnes i det følgende:

  • Hensynet til forutberegnelighet for den enkelte

Personopplysningsloven er svært generell, og gir liten praktisk veiledning vedrørende forsikringsselskapenes utredningsvirksomhet.  Loven gir derved liten forutberegnelighet for den enkelte (registrerte) med hensyn til hvilke tiltak man kan forvente at forsikringsselskapene iverksetter overfor en selv, og hvilke rettigheter man i så fall har iden forbindelse. Det vises her også til at forutberegnelighet er et helt sentralt vilkår etter EMK art 8.

  • Hensynet til forholdsmessighet - nødvendighet

At personopplysningsloven er så vidt uklar medfører også en risiko for at selskapene legger til grunn en uriktig lovforståelse, og at det derved iverksettes tiltak som ikke er forholdsmessige i det enkelte tilfellet. I foreliggende kontrollsak er det for eksempel avdekket at selskapet uriktig har lagt til grunn at personopplysningsloven (eller annet regelverk) ikke gjelder for skjult observasjon, og skjult lyd- og videoopptak. I forlengelsen av dette er det et problem at loven gir anvisning på at den behandlingsansvarlige selv skal foreta sentrale skjønnsmessige vurderinger, herunder av om en behandling har behandlingsgrunnlag, jf§ 11 jf§§ 8 og 9 bokstav e. Når selskapene skal veie sine egne, konkrete økonomiske interesser opp mot de mer ideelle interessene til den som får sine forhold utredet, oppstår det en åpenbar fare for at avveiningen blir ubalansert i selskapets favør. Tilsynet mener at de ulike hensyn bør identifiseres og avveies i en demokratisk prosess, og eventuelt reguleres nærmere i en egen lov. Dette vil sikre en forholdsmessighetsvurdering som er mer opplyst og balansert. Det vises her til at forholdsmessighet også er grunnvilkår etter EMK art 5.

  • Behovet for effektiv kontroll og håndhevelse

Tilsynet vil peke på at håndhevelsen av personopplysningsloven er relativt svak. Det vises for det første til at det foreligger en svært lav risiko for at vi vil avdekke ulovlige tiltak i enkelttilfeller. Videre vises det til at det i praksis er vanskelig å konkludere med at personopplysningslovens skjønnsmessige bestemmelser er brutt, på en slik måte at det kan iverksettes sanksjoner. Datatilsynets overtredelsesgebyrer er uansett så lave at det vil være økonomisk regningssvarende for selskapene å bryte loven i det enkelte tilfellet. Dette gjelder særlig når opplysningene uansett tillates ført som bevis for domstolene, både i sivile saker og i straffesaker. Tilsynet frykter at dette påvirker selskapenes vilje til å etterleve loven. Tilsynet mener at en nærmere konsesjonsregulering av slik virksomhet ikke tilfredsstillende avhjelper disse svakhetene ved loven. Uansett mener tilsynet at tillatelse til så inngripende tiltak som skjult observasjon og skjult lyd- og videopptak, ikke bør gis som enkeltvedtak. Etter tilsynets oppfatning er det en lovgiveroppgave.

  • Andre interesser og hensyn enn personverndirektivet ivaretar

Deler av utredningsvirksomheten utfordrer andre interesser enn de som åpenbart er vernet av personverndirektivet og personopplysningsloven. Det antas for eksempel at ren observasjon, uten noen form for registrering av personopplysninger, kan komme i strid med det ulovfestede personvernet. Også dette er tiltak som må vurderes i lys av vilkårene i EMK art 8. Provokasjonslignende tiltak og konfrontasjon bør, dersom det skal være tillatt, kompenseres med klare rettigheter for den som utredes. Det vises her til at det foreligger en åpenbar ubalanse i styrkeforholdet mellom den som utredes og det enkelte forsikringsselskapet. Den som utredes har i dag har ikke partsrettigheter, før det eventuelt foreligger en tvist som medfører at tvisteloven kommer til anvendelse eller at vedkommende siktes i henhold til straffeprosessloven. Det er problematisk ettersom utredningen ofte gjennomføres før det har oppstått en tvist eller det tas ut siktelse, og at de fleste saker finner sin løsning uten at domstolene involveres. I Advokatforeningens årstale i 2008 uttalte foreningens leder bekymring over at utredningsvirksomhet skjer i «et rettssikkerhetsmessig tomrom» idet hun viste til at domstolene tillater at bevis hentet inn på denne måte blir tillatt ført, både i sivile saker og straffesaker.

  • Fremtidig utvikling

Det er grunn til å tro at kriminalitetsutviklingen og den teknologiske utviklingen gjør at konflikten mellom selskapenes interesser og personverninteressene stadig skjerpes. Bransjen selv opplyser at det skjer en vekst i antall sviksaker, at beløpene blir større, at sakene blir mer komplekse og at det tas i bruk mer raffinerte metoder for å gjennomføre svik. Dette vil trolig føre til at bransjen ser seg nødt til å styrke egen innsats mot slik virksomhet ytterligere, både i omfang og metodebruk.

  • Om tvistelovens betydning

I klagen skriver selskapet at det er tvisteloven § 22-7 om bevisavskjæring som «danner en ytre grense for forsikringsselskapenes virksomhet». Selskapet kan ikke høres med at tvisteloven nærmest opphever personopplysningslovens betydning som ytre ramme for deres innhenting av personopplysninger. Løsningen vil åpenbart være uholdbar, særlig i de mange tilfeller som aldri blir gjenstand for domstolenes forholdsmessighetsvurdering, fordi saken avsluttes på et tidligere stadium.
Tvisteloven regulerer ikke selskapets innhenting av personopplysninger, men hvorvidt allerede innhentede opplysninger skal kunne legges frem for domstolen. Bestemmelsene anvendes på ulike stadier i en forsikringssak, og retter seg mot ulike lovanvendere. Det vil gjennomgående også være noe ulikt faktum som ligger til grunn for vurderingene, og det vil også være rom for å legge vekt på andre hensyn etter tvisteloven § 22-7 enn etter personopplysningslovens § 11, jf 8 og 9 (for eksempel hensynet til en effektiv domstolsbehandling). Selskapet har lagt frem en rekke norske og danske rettsavgjørelser som gjelder bevisavskjæring. Da domstolene ikke har behandlet personopplysningslovens bestemmelser (eller tilsvarende regelverk fastsatt i medhold av personopplysningsdirektivet), mener tilsynet at avgjørelsene ikke er direkte anvendelige for spørsmålet om hvorvidt det foreligger behandlingsgrunnlag. Tilsynet ser imidlertid at domstolenes vurderinger av om en innsamling har vært utilbørlig av hensyn til personvernet, kan ha rettskildemessig verdi ved selskapenes senere vurderinger av om en innhenting er forholdsmessig. I kjennelse 2013-10-04 Eidsivating lagmannsrett er personopplysningsloven omhandlet uttrykkelig. Saken gjaldt spørsmål om å avskjære bevis innhentet av Gjensidige ved skjult observasjon, herunder videopptak, spaningsrapporter og vitneforklaringer fra utreder og to observatører. Formålet med utredningen var å opplyse kravstillers reelle helsetilstand, idet man hadde mistanke om svik eller forsøk på svik. Lagmannsretten fant at bevisinnsamlingen var «utilbørlig». Retten tillot allikevel selskapet å føre bevisene, og uttalte i den forbindelse:

Når lagmannsretten har kommet til at bevisene bør tillates ført, kan dette tilsi at det må legges til grunn at vilkårene i personopplysningsloven§§ 8 og 9 er oppfylt.

Tilsynet vil bemerke at rettens uttalelse er et obiter dictum, som kan anses å ha begrenset rettskildemessig verdi. Dette må særlig gjelde når uttalelsen er så forbeholden som i dette tilfellet.
Selskapet viser også til at retten i samme kjennelse uttaler følgende om personvern- og integritetskrenkelsen: «Etter en samlet vurdering finner lagmannsretten på denne bakgrunn at de aktuelle bevis skal tillates ført, da lagmannsretten ikke kan se at fremleggelse av de aktuelle bevis innebærer en krenkelse av tungtveiende integritets- eller personvernhensyn». Tilsynet vil bemerke at denne uttalelsen ikke knytter seg til innsamlingen (utilbørlighetsvurderingen), men til den senere fremleggelsen (kan-skjønnet), og derved har liten relevans for det aktuelle spørsmålet.

5.3.2.3 Hvorvidt skjult observasjon, og skjult lyd- og bildeopptak, kan ha grunnlag i § 9 bokstav e eller krever hjemmel i egen lov
Skjult observasjon, og skjult lyd- og bildeopptak, er de mest inngripende metodene som selskapene åpent bruker under henvisning til personopplysningsloven § 9 litra e. Dette er metoder som må sies å stå i en særstilling, sammenlignet med øvrige metoder som åpent benyttes i forbindelse med utredning, og hvor de hensyn som er behandlet i foregående punkt gjør seg enda sterkere gjeldende.

Domstolene har i flere forsikringssaker konkludert med at denne type metodebruk representerer en utilbørlig innhenting av bevis i henhold til tvisteloven § 22-7. Vi vil peke på at tilbørlighet og forholdsmessighet kan sies å være rettslige standarder, som ikke har et klart definert innhold. Det kan anføres at disse er dels overlappede, om ikke synonyme: Begge gir anvisning på at det skal skje en konkret avveining av ulike interesser, hvor formålet er å finne en rimelig og balansert løsning. En behandling som må anses å være utilbørlig utfra personvernhensyn kan ikke samtidig være forholdsmessig i henhold til personopplysningslovens bestemmelser.

Politimetodeutvalget (NOU 2004:06) har blant annet uttalt følgende om skjult observasjon (spaning) «Spaning og infiltrasjon reiser også spørsmål i forhold til EMK art 8. Selv om spaning i seg selv ikke er særlig integritetskrenkende når den foregår i det offentlige rom, blir det problematisk hvis det utvikler seg til en systematisk innsamling av opplysninger om en person eller personkrets». Utvalget konkluderte med at straffeprosesslovens bestemmelser må få anvendelse på slik virksomhet.

Da Finansdepartementet tidligere i år sendte på høring utkast til nye kontrollbestemmelser for Tollvesenet, ble det foreslått å etablere egen lovhjemmel for skjult observasjon (spaning). Flere høringsinstanser uttalte at forholdet til EMK art 8 måtte vurderes nærmere av lovgiver.

Det er nødvendig at Stortinget vurderer bruk av slike metoder opp mot vilkårene i EMK art 5, også hva gjelder forsikringsselskapenes utredningsvirksomhet. Da dette ikke ble gjort i forbindelse med vedtagelsen av personopplysningsloven§ 9 bokstav e, kan det vanskelig hevdes at denne bestemmelsen er forutsatt å være hjemmel til bruk av slike metoder.

Endelig vil vi peke på at det finnes andre private aktører utenfor forsikringsbransjen, som vil ha nytte av skjult observasjon med skjult lyd og bildeopptak for å ivareta egne formål. Det vil være uheldig, dersom enhver privat aktør som mener å kunne ha et rettskrav, oppfatter at de kan ta i bruk slike metoder i bruk når de selv finner det nødvendig, med hjemmel i § 9 litra e.

5.3.3    Konklusjon
Tilsynet fastholder at innhenting av helseopplysninger ved bruk av skjult observasjon og skjult lyd­ og bildeopptak krever hjemmel i lov, jf både EMK art 8 og personopplysningslovens § 11 jf § 9. Dette må særlig gjelde når formålet er å opplyse noens helsetilstand.

Personopplysningslovens § 9 litra e er ikke en tilfredsstillende lovhjemmel for slike tiltak. Ettersom det heller ikke foreligger andre aktuelle lovhjemler, er det forbudt for forsikringsselskapene å benytte denne type metoder for å dokumentere noens helseforhold.

Det er ønskelig at lovgiver tar stilling forsikringsselskapenes utredningsvirksomhet generelt, ikke bare den aktuelle metodebruken. Stortinget bør vurdere hvilke vilkår og begrensninger som skal gjelde for slik virksomhet, og hvilke rettigheter som skal tilstås den som får sine forhold utredet. Det er naturlig at også politiets eventuelle rolle og ansvar for å avdekke denne type økonomiske kriminalitet avklares i den forbindelse.

5.4 Krav om nødvendighet, relevans og kvalitet ved utredningsvirksomhet
Når det gjelder spørsmål om hvorvidt det foreligger et enkeltvedtak vises det til oversendelsesbrevet. Det er noe uklart for Datatilsynet hva klagen konkret gjelder. Det antas imidlertid at selskapet reagerer på den lovanvendelsen som ligger til grunn for tilsynets kommentarer om kvaliteten på de helseopplysningene som fremkommer gjennom skjult observasjon og skjult lyd- og videopptak. Det er også uklart hva klagen grunnes på.

Tilsynet kan ikke se at det fremkommer opplysninger som medfører endringer i tilsynets vurderinger. Tilsynet fastholder derfor at det generelt er viktig med god kvalitet på de opplysningene som hentes inn i forbindelse med utredningsvirksomhet, også fordi de antas å ligge til grunn for selskapets beslutninger om å iverksette ytterligere utredningstiltak. Tilsynet fastholder også at kvaliteten er relevant ved vurderingen av om et tiltak er forholdsmessig eller ikke, slik at det skal mer til for å begrunne innhenting av opplysninger som har dårlig kvalitet enn opplysninger av god kvalitet.

Når det gjelder innhenting av helseopplysninger fastholder tilsynet at skjult observasjon og skjult lyd- og videoopptak særskilt utfordrer disse vilkårene, og at helseforhold i størst mulig grad bør utredes av kvalifisert helsepersonell.

Etter tilsynets vurdering er det her relevant å se hen til hvordan lovgiver har regulert NAVs kontrollvirksomhet. Selv om utredning ikke er offentlig myndighetsutøvelse har også utredning et sterkt element av tvang i seg. Begge virksomhetene forutsetter etter sin art at de holdes delvis skjult for den som får sine forhold utredet/kontrollert, og det foreligger en klar ubalanse også i forholdet mellom forsikringsselskapet og den enkelte. Den som utredes kan i begrenset grad påvirke eller motsette seg utredningen. Både utredning og kontroll kan ta avgjørende økonomiske konsekvenser for den registrerte, og kan i ytterste konsekvens medføre at vedkommende ilegges straff.

Det vil langt på vei være de samme opplysningene som er relevante, både for selskapenes utredning i saker som gjelder medisinske forhold og for deler av NAVs kontrollvirksomhet. De samme metodene vil derved kunne være nyttige for begge disse formålene, herunder skjult observasjon og skjult lyd- og bildeopptak.

Slike metoder ble allikevel ikke vurdert som aktuelle da det skulle etableres hjemler for NAVs kontrollvirksomhet, selv ikke i de tilfeller hvor det er grunn til å mistenke trygdebedrageri (folketrygdlovens§ 21-4a). Det ble i stedet etablert en ordning hvoretter helseforhold skal opplyses enten gjennom innhenting av opplysninger fra eksisterende (eldre) pasientjournaler, eller gjennom at det gjøres nye medisinske undersøkelser fra helsepersonell som NAV utpeker.

NAV sin adgang til å hente inn helseopplysninger i kontrolløyemed er derved langt på vei sammenfallende med forsikringsselskapenes adgang til å hente inn helseopplysninger etter gjeldende forsikringsavtalelov. Datatilsynet kan vanskelig se at forsikringsselskapene har et behov for å opplyse helseforhold, som går utover eller veier tyngre enn det behovet NAV har.  Det må derfor kunne antas at gjeldende bestemmelser i forsikringsavtaleloven gir tilfredsstillende muligheter for selskapene til å opplyse helseforhold i en konkret sak, og at bruk av skjult observasjon og skjult lyd- og bildeopptak derved ikke er nødvendig i denne forbindelse.

5.5 Bortfall av konsesjon
Tilsynet har i epost av 10. desember 2013 mottatt ytterligere kommentarer til vedtak om konsesjonsbortfall (vedtakets punkt 10). Selskapet hevder at vi verken har anledning til å nekte konsesjon etter personopplysningsloven eller å trekke tilbake en allerede gitt konsesjon. Det anføres at tilsynet utelukkende har anledning til å stille vilkår for behandlingen, slik at den kommer i overensstemmelse med lovens krav. Dersom vilkårene ikke etterleves hevdes det at tilsynet kan benytte tiltak som nevnt i lovens kapittel 5.

Spørsmålet er om de manglene som ble avdekket ved Datatilsynets kontroll kan få konsekvenser for den konsesjonen som ble gitt i 2005. Tilsynets kompetanse til å avslå en søknad om konsesjon etter personopplysningsloven§ 34 er ikke direkte relevant i denne saken, og vil ikke bli behandlet nærmere. Tilsynet antar allikevel at flere av de samme momentene vil være gyldige ved tilsynets skjønnsutøvelse knyttet til henholdsvis innvilgelse og tilbaketrekking av konsesjon.

Tilsynet beklager at det i saksbehandlingen ikke har vært helt tydelig med hensyn til det rettslige grunnlaget for tilbaketrekkingen. Det skyldes at tilsynet har lagt til grunn at tilbaketrekkingen kan skje både med hjemmel i de alminnelige bestemmelsene for enkeltvedtak i forvaltningsloven, og med hjemmel i de særskilte bestemmelsene i personopplysningsloven.

Vedtaket er etter tilsynets oppfatning allikevel klart forankret i personopplysningslovens § 46, jf innledningen til vedtaket.

5.5.1 Pålegg om opphør etter personopplysningsloven § 46
En konsesjonsbehandling er en forhåndskontroll av at personvernet er tilfredsstillende ivaretatt ved den aktuelle behandlingen. En konsesjon gitt med hjemmel i personopplysningsloven § 34 er derved å anse som en tillatelse til at den behandlingen det søkes om kan iverksettes.

Tilsynet mener at det har en tilsvarende skjønnsmessig anledning til å pålegge at en iverksatt behandling skal opphøre, dersom det avdekkes at personvernet ikke er tilfredsstillende ivaretatt ved behandlingen. Det vises til personopplysningslovens § 46, som etablerer en adgang for tilsynet til å pålegge at en ulovlig behandling skal opphøre.

Selskapet synes å anføre at denne adgangen ikke gjelder for behandlinger som er konsesjonsregulerte. Tilsynet mener imidlertid at adgangen i utgangspunktet må gjelde tilsvarende både for de behandlinger som er konsesjonsregulerte og de som ikke er det. Det kan sågar hevdes at det er større grunn til at tilsynet skal kunne pålegge opphør av en konsesjonsregulert behandling, da denne allerede er vurdert å innebære en særlig risiko for personvernet. Pålegget vil da innebære at tidligere gitt konsesjonen settes til side eller faller bort, helt eller delvis.

Hvorvidt det er adgang til å pålegge opphør av en behandling må vurderes konkret i det enkelte tilfellet, med bakgrunn i manglenes art og omfang og de mulige skadevirkningene behandlingene har for personvernet. Disse hensynene må veies opp mot de konsekvensene et opphør i behandlingen vil få for den behandlingsansvarlige.

I dette tilfellet har tilsynet lagt særlig vekt på at selskapet manglet tilfredsstillende internkontroll. Manglene var av et slikt omfang at det forelå en uholdbar risiko for at lovens øvrige bestemmelser ble brutt i behandlingen, og at sensitive opplysninger derved ble behandlet uten at lovens grunnkrav var oppfylt, uten at de registrertes rettigheter ble ivaretatt, og uten at dette ville blitt avdekket av selskapet selv eller av tilsynsmyndigheten. Tilsynet la også vekt på at manglene var knyttet til selskapets behandling av personopplysninger i forbindelse med forsikringsvirksomhet generelt, og derved dekket hele konsesjonens virkeområde.

Et vedtak som innebærer at behandlingen må opphøre vil selvsagt få svært alvorlige konsekvenser for selskapet, som har innrettet sin virksomhet på at det foreligger en tillatelse i form av en konsesjon. Tilsynet mener allikevel at hensynet til selskapet er tilfredsstillende ivaretatt ved at tilsynet ga et betinget vedtak om bortfall av konsesjonen. Selskapet ble altså gitt anledning til å rette opp i de manglene som ble avdekket, innen en frist som selskapet selv opplyser at de finner rimelig. Selskapet fikk derved opprettholde driften i forsikringsselskapet i hele denne perioden. Det vises også til at selskapets klage er gitt oppsettende virkning på dette vedtaket, slik at behandlingen uansett ikke må opphøre før klagen er ferdig behandlet.

5.5.2 Forvaltningslovens bestemmelser om ugyldighet
En konsesjon er et enkeltvedtak, som kan omgjøres i tråd med forvaltningslovens bestemmelser. Tilsynet har lagt til grunn at konsesjonen bygget på uriktige eller bristende faktiske forutsetninger, og derved er ugyldig i henhold til forvaltningslovens § 35 bokstav c. Det vises om dette til vedtaket.

Tilsynet vil understreke at det ikke har vurdert og konkludert med hensyn til om konsesjonen var ugyldig allerede på vedtakstidspunktet, slik selskapet synes å legge til grunn. Saken er heller ikke opplyst med tanke på å vurdere dette. Hvorvidt konsesjonsvedtaket baserte seg på uriktige forutsetninger, eller om forutsetningene senere har endret seg er uansett ikke avgjørende for utfallet av denne saken. Tilsynets vurderinger knytter seg utelukkende til om de faktiske forhold på kontrolltidspunktet var i samsvar med det som ble lagt til grunn på vedtakstidspunktet, nemlig at selskapet hadde etablert et tilfredsstillende internkontrollsystem. Tilsynet har følgelig heller ikke lagt til grunn at konsesjonen er en nullitet som følge av mangelen, slik selskapet synes å legge til grunn, kun at den er ugyldig fremover i tid.

5.5.3 Konklusjon
Tilsynet fastholder at det har kompetanse til å pålegge opphør av behandlingen med hjemmel i personopplysningsloven § 46, noe som i praksis medfører at tilsynets tillatelse gitt i konsesjon i 2005 faller bort. Tilsynet fastholder også at vurderingen av om det skulle treffes et slikt pålegg i denne saken er forsvarlig og i tråd med god forvaltningsskikk. Tilsynet fastholder at konsesjonen uansett må anses ugyldig etter forvaltningslovens § 35 bokstav c.

5.6 Orientering om Datatilsynets sak nr 13/00735
Tilsynet har iverksatt en ny kontroll overfor Gjensidige, hva angår deres behandling av opplysninger i forbindelse med en konkret utredningssak. Dette er den samme saken som nå er til behandling i rettssystemet (2013-10-04 Eidsivating lagmannsrett). Mens foreliggende kontrollsak i hovedsak vedrører selskapets etterlevelse av lovens systemplikter, gjelder den nye kontrollsaken selskapets etterlevelse av lovens grunnkrav og ivaretagelse av den registrertes rettigheter. Tilsynet har ikke ennå fattet vedtak i saken.

6 Personvernnemndas merknader

FØYEN Advokatfirma DA representerer Gjensidige Forsikring ASA (Gjensidige). Leder og nestleder i Personvernnemnda, Eva Jarbekk og Arve Føyen, er partnere i Føyen Advokatfirma. Begge fratrådte behandlingen av denne saken. Arve Føyens personlige vara, Ingvild Hanssen-Bauer, har også bistått Gjensidige og valgte derfor å fratre behandlingen av denne saken.

Personvernnemnda har vurdert de påklagede vedtakspunktene 2, 3 og 10 annen setning. Nemnda er enig med Gjensidige i at vedtakspunktene er formulert slik at de bare pålegger Gjensidige å følge loven på generelt grunnlag. Slike vedtak kan ingen være uenige i, og de oppfyller ikke kravene til enkeltvedtak i forvaltningsloven § 2 b). Datatilsynet viser til at punktene må sees under ett og at tilsynsrapporten skal utfylle vedtakspunktene. Tilsynsrapporten er imidlertid ikke en del av vedtakene. Etter nemndas syn må et enkeltvedtak formuleres mer konkret. Vedtakene i denne saken har ikke et presisjonsnivå og innhold som tilfredsstiller kravene til et enkeltvedtak, jf § 2 b), som gjelder rettigheter eller plikter til en eller flere bestemte personer. Slik vedtakspunkt 2 og 3 er formulert er de ikke bestemmende for en persons rettigheter og plikter. Punktene er pålegg. Da må det fremgå av vedtaket hva som pålegges slik at det etablerer en rettsstilling. Videre mener nemnda at vedtakspunktene må formuleres som selvstendige vedtak med en tilstrekkelig presisjon i hvert av punktene. Vedtakspunktene må dessuten begrunnes på tilstrekkelig måte. Det blir vanskelig både for klager og for klageinstans å forstå vedtakene og vurdere klagen når vedtakene ikke viser til konkrete brudd og konsekvenser. Nemnda er således kommet til at vedtakene ikke har tilstrekkelig presisjonsnivå til at nemnda kan foreta en realitetsbehandling av klagen.

Nemnda kan ikke se at Datatilsynet har rett i at vedtakspunktene 2 og 3 er utdyping av vedtakspunkt 1. Punktene 2 og 3 gjelder spørsmål om det er hjemmel for helt konkrete behandlinger av personopplysninger, ikke internkontroll.

Videre mener nemnda at bortfall av konsesjon (punkt 10) uansett ikke kan skje før saken er endelig behandlet. Konsesjonen kan ikke falle bort ved en uavklart klagesak. Etter nemndas syn kan ikke vedtakspunkt 10 leses som et enkeltvedtak, men som et forhåndsvarsel om omgjøringssak. Det vil i så tilfelle være en selvstendig sak om omgjøring som følge av etterfølgende forhold, jf forvaltningsloven § 35 siste ledd. Slik opptreden i ettertid må være kvalifisert klanderverdig. Omgjøring får dessuten bare virkning fremover i tid. Uansett må de materielle sider av saken avgjøres før man kan si noe om konsekvensene for konsesjonen.

7 Vedtak

Saken sendes tilbake til Datatilsynet til fornyet behandling, slik at de påklagede vedtakspunktene skal bli formulert i samsvar med forvaltningsloven § 2 b).

 

 

Oslo, 10. juni 2014

Olav Torvund
Leder