Datatilsynets referanse: 13/00330-18/CBR

PVN-2014-01 Skan-Kontroll

Klage på Datatilsynets pålegg om databehandleravtaler og informasjonssikkerhet, samt ileggelse av overtredelsesgebyr

Personvernnemndas avgjørelse av 27. oktober 2014 (Eva I E Jarbekk, Arve Føyen, Nina Melsom, Ørnulf Rasmussen, Ann R Sætnan, Gisle Hannemyr, Marta Ebbing)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets pålegg om databehandleravtaler og informasjonssikkerhet, samt ileggelse av overtredelsesgebyr.

2 Saksgang

Den 5. juni 2013 gjennomførte Datatilsynet en kontroll hos AS Skan-Kontroll (heretter SK eller selskapet). Kontrollen skjedde med hjemmel i personopplysningsloven§ 42 tredje ledd nr. 3.

Kontrollen var knyttet til selskapets behandling av personopplysninger i forbindelse med kontrolltjenester, hvor behandlingen skjer for det formål å avdekke lov- og avtalebrudd hos oppdragsgivers ansatte og kunder. Kontrollen avdekket at selskapet benyttet opplysningene for andre formål enn det som var avtalt, blant annet i forbindelse med en såkalt varslingstjeneste som har til formål å forhindre og avdekke straffbare handlinger.

Datatilsynet fant en rekke mangler ved selskapets etterlevelse av personopplysningslovens bestemmelser, både som databehandler og som behandlingsansvarlig. Disse ble beskrevet i en foreløpig kontrollrapport av 29. august 2013. Samme dag varslet Datatilsynet om at det ville gi pålegg for å bringe behandlingen i lovlige former, og at det ville ilegge overtredelsesgebyr. Tilsynet varslet også om at selskapets selvstendige behandling av personopplysninger i forbindelse med analysevirksomheten måtte opphøre.

Etter å ha vurdert selskapets tilsvar av 4. oktober 2013 fattet Datatilsynet vedtak den 5. november 2013, med hjemmel i personopplysningslovens § 46.

Vedtaket lød som følger:

Under henvisning til Datatilsynets varsel om vedtak av 29. august 2013 og ovenstående kommentarer, og med hjemmel i personopplysningslovens § 46 traff Datatilsynet følgende vedtak:

1.   AS Skan-Kontroll må senest innen 1.3.2014 etablere databehandleravtaler for alle løpende og fremtidige databehandleroppdrag, jf personopplysningslovens § 15. Det vises til tilsynsrapportens pkt 6.1.1.

2.   AS Skan-Kontroll må senest innen 1.4.2014 avslutte sin behandling av personopplysninger som ikke er omfattet av et avtaleregulert databehandleroppdrag som nevnt i pkt l, jf personopplysningslovens§ 15. Opplysningene må enten slettes eller tilbakeføres til den behandlingsansvarlige. Det vises til kontrollrapportens punkt 6.3.

3.   AS Skan-Kontroll må senest innen 1.4.2014 etablere rutiner for gjennomføring av planlagte og systematiske risikovurderinger, jf personopplysningsloven § 13, jf personopplysningsforskriften § 2-4. Det vises til kontrollrapportens punkt 6.4.2.

4.   AS Skan-Kontroll må senest innen 1.4.2014 etablere rutiner for gjennomføring av planlagte og systematiske sikkerhetsrevisjoner og gjennomføre disse, jf. personopplysningsloven§ 13, jf personopplysningsforskriften § 2-5. Det vises til kontrollrapportens punkt 6.4.3.

5.   AS Skan-Kontroll må senest innen 1.4.2014 etablere tilstrekkelig informasjonssikkerhet ved å avslutte sin praksis med å sende personopplysninger med behov for konfidensialitetsbeskyttelse over ukryptert e-post, jf personopplysningsloven § 13, jf. personopplysningsforskriften § 2-11. Det vises til kontrollrapportens punkt 6.4.5.1.

6.   AS Skan-Kontroll må senest innen 1.6.2014 etablere tilstrekkelig informasjonssikkerhet ved sin lagring av personopplysninger i SK-journal ved at det etableres løsning for segmentering av personopplysninger fra ulike behandlingsansvarlige, jf. personopplysningsloven § 13, jf personopplysningsforskriften §§ 2-11 og 2-14. Det vises til kontrollrapportens punkt 6.4.5.4.

7.  AS Skan-Kontroll pålegges å betale et overtredelsesgebyr til statskassen, pålydende kroner seks hundre tusen, for å ha behandlet personopplysninger i strid med personopplysningslovens§ 15, § 11 jf 8 og 9, § 14 og§ 13. Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. personopplysningslovens § 47a.

I brev av 26. november 2013 påklaget selskapet på deler av vedtaket. Punkt 3 og 4 ble ikke påklaget.

Saken ble oversendt Personvernnemnda 20.12.2013, som mottok saken 2.1.2014. Klager ble orientert om dette i brev fra nemnda datert 10.1.2014, med frist til uttalelse innen 13.2.2013. Klager kommenterte klagen i brev av 11.2.2014.

3 Faktum

Klager har påklaget tilsynets pålegg om databehandleravtaler og informasjonssikkerhet, samt ileggelse av overtredelsesgebyr.

4 Klagers anførsler

4.1 Kommentarer til Datatilsynets oversendelsesbrev

Ad pkt 2.1:    
Klager fastholder at det er av vesentlig betydning å få avklart grensen for når SK er behandlingsansvarlig og databehandler.

Datatilsynet skriver: "Vi fastholder derfor at det er opp til avtalepartene selv å angi denne grensen, gjennom inngåelse av databehandleravtaler." Dette kan tolkes som om Datatilsynet synes å mene at grensen kan fastsettes mellom avtalepartene ved databehandleravtaler, hvilket ikke kan være riktig: Den som i henhold til legaldefinisjonen i personopplysningsloven § 2 nr 4 oppfyller vilkårene for å være behandlingsansvarlig, kan ikke ved avtale overføre behandlingsansvaret til en som behandler opplysninger på vedkommendes vegne. Spørsmålet om hvor grensen går mellom behandlingsansvarlig og databehandler, beror dermed primært på en lovtolkning, og ikke på privatrettslige avtaler.

Alternativt kan utsagnet tolkes som at Datatilsynet vil avstå fra å oppfylle sin veiledningsplikt, og heller foretrekker å foreta tilsyn etterskuddsvis, og ilegge betydelige overtredelsesgebyr for de aktører som måtte ha misforstått regelverket, eller inngått databehandleravtaler som DT ikke finner tilfredsstillende. En slik forvaltningsskikk er mildest talt uheldig.

Ad pkt 2.2:
SK har aldri vært uenig i at sensitive personopplysninger som sendes pr epost skal krypteres eller sikres på annen måte. Dette har hele tiden vært SK sin praksis på området.

Datatilsynet uttaler at det ikke kan oppstilles en "generell regel" om at sladding av ansikter medfører at opplysningene er anonymisert, og dermed ikke er å anse som personopplysninger. Dermed utelukker heller ikke Datatilsynet at slike bilder er anonymisert. I følge Datatilsynet må det foretas en konkret vurdering av om bildene er anonymisert. Dette står i skarp kontrast til uttalelsen på side 3 i vedtak og endelig kontrollrapport, hvor tilsynet legger til grunn at det ut fra SKs formål med bruk av bildene, vil være slik at de alltid inneholder personopplysninger.

Ad pkt 2.5 (om analyse- og varslingstjenesten- avslag på konsesjonssøknaden):
Det er gledelig at Datatilsynet synes å innse at SKs analyse- og varslingstjeneste er nyttig og vesentlig for bekjempelsen av mobil vinningskriminalitet. Likevel gir tilsynet avslag på søknaden, med den begrunnelse at (1) hensynet til borgeren ikke blir tilfredsstillende ivaretatt ved slik behandling, og (2) at samfunnsinteressen må antas å bli ivaretatt av den offentlige politi- og påtalemyndighet.

Klagers kommentarer til dette er følgende:

(1)       Som tidligere fremholdt, følger analyse- og varslingstjenesten opp mobil og annen alvorlig vinningskriminalitet. Enkeltstående tilfeller av naskeri, og uregelmessigheter av ikke-kriminell art, omfattes ikke av denne tjenesten. Det konstateres at Datatilsynet mener at hensynet til de kriminelles personvern er mer tungtveiende enn kampen mot alvorlig vinningskriminalitet. Det er ikke åpenbart at denne avveiingen er riktig. Uttalelser i forarbeidene til flere lover viser at hensynet til å forhindre eller oppdage alvorlig kriminalitet får forrang fremfor personvernet. Vi viser her til Bjarne Kvam: Politiets persondatarett (2014) s. 348, hvor Kvam skriver:

For det andre er det allment akseptert at beskyttelsen av opplysninger om lovbrytere ikke kan være like sterk som for personer som ikke har brutt loven. I hvert fall må det gjelde når det er snakk om oppklaring av det aktuelle lovbruddet. Politimetodeutvalget sa at "den som involverer seg i kriminalitet, svekker selv sitt krav på rettssikkerhet i vid forstand, og må derfor finne seg i et inngrep når lovens betingelser er oppfylt".  Personvernkommisjonen ga sin tilslutning til dette.

Det vises videre til henvisningene i notene hos Kvam til NOU 2004:6 s. 52, Ot prp nr 64 (1998-1999) s. 37 og 39 "... samfunnet er villig til til dels store inngrep i personvernet dersom det vil bety en mer effektiv bekjempelse av alvorlig kriminalitet"., og NOU 2009:1 s. 33.

Klager mener at disse uttalelsene styrker SKs krav om at analyse- og varslingstjenesten får fortsette i sin nåværende form.

(2)       Politiet har verken tilstrekkelig ressurser, kapasitet eller mulighet til å innhente, analysere eller varsle om de forhold som SKs analyse- og varslingstjeneste behandler. Nedlegges denne tjenesten, vil kampen mot mobile vinningskriminelle grupper bli satt langt tilbake. Dette vil medføre at heller ikke politiet lenger vil bli tilført opplysninger om aktive mobile vinningskriminelle og sammenheng mellom saker.
    
SK ønsker å føre vitner direkte for nemnda om betydningen av SKs analyse- og varslingstjeneste, og om konsekvensene av at denne nedlegges. Det bes om at Personvernnemnda stiller seg positiv til anmodningen, og SK vil på kort varsel fremkomme med liste over de vitner som ønskes ført. Dersom PVN skulle avslå anmodningen, ber vi om at dette besluttes og meddeles oss i god tid før møtet hvor vår klage avgjøres, slik at vi får anledning til å innhente skriftlige uttalelser fra de aktuelle vitnene. Disse uttalelsene ønsker vi å fremlegge for PVN, slik at PVN få vurdert betydningen av disse under behandlingen av vår klage.

Ad pkt 2.5 (om overtredelsesgebyr):
Datatilsynet anfører at overtredelsesgebyret på kr 600 000 "i hovedsak er begrunnet i de lovbruddene som selskapet må svare som behandlingsansvarlig for." Dette står stikk i strid med uttalelsene i varsel om vedtak av 29.8.2013, hvor det samme gebyret i stor utstrekning er
begrunnet i "manglende databehandleravtaler". Siden gebyret i henhold til pkt 2.5 er fastsatt i lys av "overtredelsens art og omfang", fremstår det som underlig at Datatilsynets frafall av anførselen om at SK ikke har inngått databehandleravtaler, ikke har ført til noen reduksjon av gebyret.

4.2 Kommentarer til Datatilsynets uttalelser til media

Datatilsynet har ved flere anledninger mens denne saken har versert gitt uttalelser i media. Flere av disse inneholder direkte feil og/eller har en tendensiøs form, som ikke er forenlig med at de kommer fra et offentlig tilsynsorgan. Klager mener at man må kunne forvente at en offentlig myndighetsutøver som Datatilsynet avgir nøytrale og saklige uttalelser og kvalitetssikrer den informasjonen som gis.

Vi vil her henvise til noen uttalelser som vi finner kritikkverdige.  Disse er foreholdt fagdirektør Cecilie Rønnevik i Datatilsynet som i epost av 10. februar 2014 bekrefter at hun "innestår for hovedinnholdet i det som er gjengitt".

Aftenposten 3. september 2013
«De hadde også en svær operasjonssentral hvor de behandlet masse informasjon, forteller Cecilie Rønnevik, fagdirektør i Datatilsynet».

SK kommentar:
Vi mener at denne formuleringen fra DT er tendensiøs og skaper et feilaktig inntrykk av SK. Lov om vaktvirksomhet § 15 pålegger SK å ha en vaktsentral som ivaretar sikkerheten og kommunikasjonen med alle våre vektere i hele Norge. SKs vaktsentral kan maksimalt betjenes med 4 operatører, men betjenes vanligvis av 1-3 operatører. En av disse betjener i tillegg SKs analyse- og varslingstjeneste. Vaktsentralen er på ca 25 kvm. Vaktsentralen ivaretar alle henvendelser fra kunder og ansatte, også utenfor normal kontortid. SKs analyse- og varslingstjeneste har tilhold i vaktsentralen av sikkerhetsmessige årsaker, da lokalet er adgangsbegrenset.
 
Aftenposten 5. september 2013
«Jeg tviler heller ikke på at det er effektivt. Men problemet er hvordan Skan-kontroll har fått opplysningene de bruker. De tilbyr en slags privat polititjeneste hvor de tar i bruk ulike politimetoder. Og de går en snarvei rundt straffeprosessloven».

«Det er en grunn til at vi har et objektivt politi som gjør en etterforskning som taler både for og mot den mistenkte. Den luksusen tviler jeg på at dette selskapet tar på seg. Dessuten har man som mistenkt en del rettigheter gjennom straffeprosessloven, og det vernet mister man her. Og på toppen av det hele skjer det skjult. De som er mistenkt får ikke vite det, sier Rønnevik».

«Forretningsideen deres er å sette til side grunnleggende rettigheter».

SK kommentar:
Det SK gjør er å bistå sine kunder med å utarbeide og sammenstille dokumentasjon etter begåtte kriminelle forhold hos kunden. Dette er dokumentasjon som oversendes politiet sammen med en anmeldelse og legger grunnlag for etterforskning og iretteføring fra politiet og påtalemyndighet. Vårt oppdrag avsluttes her, bortsett fra evt. vitneforklaring for politi/domstol. Vi kan ikke se at vår virksomhet her omgår reglene i straffeprosessloven.

Det er neppe en politioppgave å utarbeide anmeldelse og dokumentasjon for det private næringsliv. Vi oppfatter disse uttalelsene som svært tendensiøse og unødvendige, samt skadelig omdømmemessig for SK.

DN.no 10. februar 2014:
«Det mest alvorlige vi reagerte på, var Skan-kontrolls etterretningssystemer der det
var fri flyt av informasjon og varsling til andre kunder, sier juridisk fagdirektør Cecilie
Rønnevik i Datatilsynet.»

«Selskapet har også en egen operasjonssentral som får innmeldt observasjoner av kontrollører».

«Operasjonssentralen er bemannet med tidligere politifolk, sier Rønnevik».

SK kommentar:         
Vi reagerer på uttalelsen fra Datatilsynet om fri flyt av informasjon og varsling, sett i lys av at vi nøye har beskrevet hvordan informasjonen blir håndtert, sladdet, anonymisert og distribuert i vårt tilsvar til Datatilsynet. Når det gjelder at operasjonssentralen er bemannet med tidligere politifolk så er dette regelrett feil. Den er ikke og har aldri vært bemannet med tidligere politifolk. Vi kan heller ikke se at dette eventuelt skulle vært noe negativt, men fra Datatilsynets side så oppfatter vi at dette har en tydelig negativ vinkling.

4.3 Personopplysningslovens forhold til direktiv 95/46/EF

Store deler av Datatilsynets kontrollrapport og vedtak bygger på forståelsen av begrepet "sensitive personopplysninger" i § 2 nr 8, b). Resonnementet er at SK i stor utstrekning behandler sensitive personopplysninger i analyse- og varslingstjenesten, idet denne dreier seg om mistanke om straffbare handlinger.

Sensitive personopplysninger er gitt en videre definisjon i § 2 nr 8, b enn i direktivets artikkel 8.

Norske myndigheter har antatt at nevnte direktiv er et minimumsdirektiv. Dette er trolig ikke riktig. Det vises i denne forbindelse til Kvams bok side 57 - 59, som analyserer relevant EU­ rettspraksis, og på bakgrunn av den konkluderer med at direktivet ikke er et minimumsdirektiv, men et fullharmoniseringsdirektiv. Hva gjelder definisjonen i § 2 nr 8, b, vises spesielt til Kvams fotnote 225 på s 59, og fotnote 412 på s. 97.

Det antas at store deler av Datatilsynets vedtak forutsetter at opplysninger om at en person er eller har vært mistenkt for en straffbar handling, er en sensitiv personopplysning. Dette har bl.a. betydning for konsesjonsplikten i henhold til § 33.

Klager ber om at nemnda tar stilling til om det er i tråd med Norges EØS-rettslige forpliktelser, jf EØS-loven § 2, at personopplysningsloven § 2 nr 8, b, definerer opplysning om at en person er eller har vært mistenkt for en straffbar handling, som en sensitiv personopplysning.

Videre ber klager nemnda ta stilling til om grunnkravene til behandling av personopplysninger i § 11, 1. ledd b og c er i strid med EØS-loven, og viser her til Kvam på side 314-316.

4.4 Lovligheten av de enkelte elementer i SKs analyse- og varslingstjeneste

Klager anfører prinsipalt at SK har den nødvendige hjemmel og konsesjon for utøvelse av denne tjenesten. Subsidiært bes om tillatelse i medhold av § 9, siste ledd. Atter subsidiært, bes nemnda trekke opp grensen for hvilke elementer i analyse- og varslingstjenesten som uansett kan opprettholdes. Her oppstår sentrale spørsmål som:

  • Kan SK uansett sende sladdede bilder/info om kriminelle forhold som stammer fra en forretning, til en eller flere forretninger i samme kjede?
  • Er det i så fall av betydning om kjeden består av egeneide butikker eller franchise?
  • Kan SK uansett sammenligne kriminelle forhold for å påvise sammenhenger og gjøre politiet oppmerksomme på dette?
  • Kan SK uansett sammenligne kriminelle forhold for å påvise sammenhenger og gjøre sine kunder oppmerksomme på dette?
  • Kan SK beholde elektroniske rapporter/bilder inntil det er avklart om forholdet som er omhandlet leder til rettssak, og i så fall inntil det foreligger rettskraftig dom i saken?
  • Kan det avtales i databehandleravtaler med de forskjellige kunder at personopplysninger kan brukes på kryss av forretninger/kjeder i det kriminalitetsforebyggende arbeidet?

5 Datatilsynets vurdering

5.1 Om ansvarsforholdene (vedtakets punkt 1, 2 og 6)

Datatilsynet mener at selskapet må svare som databehandler og behandlingsansvarlig for henholdsvis kontrollvirksomheten og den senere analyse- og varslingsvirksomheten. Dette er blant annet lagt til grunn for vedtakets punkt 1, 2 og 6.

Selskapet er uenig i tilsynets vurdering av ansvarsforholdene, og ber om at nemnda «går opp grensen» for når selskapet er behandlingsansvarlig og databehandler etter loven. I den forbindelse ber de om at nemnda tar i betraktning at selskapet ble gitt konsesjon til det såkalte
«butikktyveriregisteret».

Datatilsynet kan ikke se at det kommer frem nye momenter eller anførsler i klagen, sammenlignet med selskapets tilsvar. Datatilsynet fastholder derfor at det er opp til avtalepartene selv å angi denne grensen, gjennom inngåelse av databehandleravtaler.

5.2 Om sikkerhetstiltak ved epostforsendelser (vedtakets punkt 5)

Selskapet anfører at de varslene som sendes ut er anonyme, slik at lovens krav til informasjonssikkerhet ikke gjelder.

Datatilsynet fastholder at kravet til kryptering gjelder når sensitive personopplysninger skal sendes på epost. Det vises til tilsynets vedtak, hvor det gis anvisning på at selskapet må foreta en konkret vurdering av hvorvidt det behandles personopplysninger i det enkelte tilfellet. Det kan ikke oppstilles en generell regel om at sladding av ansikter medfører at opplysningene er anonymisert, slik selskapets synes å legge til grunn.

5.3 Om selskapets tidligere konsesjoner

Selskapet anfører at den konsesjonen som ble gitt og forlenget med hjemmel i personregisterloven har vært hjemmel for selskapets behandling av personopplysninger, også etter at loven ble opphevet. Datatilsynet kan ikke se at det kommer frem nye momenter eller anførsler i klagen, sammenlignet med selskapets tilsvar. Tilsynet viser til det som allerede står i vedtaket om dette.

Når det gjelder spørsmålet om hvorvidt selskapet faktisk har mottatt den konsesjonen som ble gitt med hjemmel i personopplysningsloven, vil Datatilsynet bemerke følgende:

Selskapet hevder i klagen at Datatilsynets saksbehandlings- arkiverings- og postrutiner «ikke alltid har vært tilfredsstillende». I den forbindelse viser selskapet til at saksbehandlingstiden på konsesjonssøknaden fra 2001 var svært lang. Datatilsynet erkjenner at det hadde problemer med saksavvikling i en tid etter at personopplysningsloven (og helseregisterloven) trådte i kraft. Det var mange eksisterende konsesjoner som måtte revurderes, og det var nye behandlinger som ble konsesjonspliktige med det nye regelverket. I tillegg kom omfattende veiledningsarbeid som var nødvendig etter lovendringen. At det tok lang tid å behandle søknaden gir etter tilsynets mening likevel ikke grunn til å stille spørsmål ved om konsesjonen deretter ble sendt.

Selskapet viser også til at Datatilsynet skal ha behandlet en konsesjonssøknad fra Securitas, som Datatilsynet ikke har funnet og fremlagt for SK. Datatilsynet kjenner ikke til denne konsesjonssøknaden. I forbindelse med klagesaksbehandlingen har tilsynet gått gjennom systemene på nytt, men har ikke funnet noen henvendelser fra Securitas som kan leses som en konsesjonssøknad. Tilsynet kan derfor ikke kommentere dette punktet ytterligere.

Uansett fastholder Datatilsynet at det er selskapets ansvar å påse at det har gyldig konsesjon til enhver tid. Selskapet burde derfor ha etterlyst svar på sin konsesjonssøknad innen rimelig tid, dersom vedtak uteble.

5.4 Om databehandleravtalene

Selskapet anfører at de avtalene som er inngått tilfredsstiller personopplysningslovens vilkår til en databehandleravtale. Selskapet viser til at det ikke er en klar plikt til å regulere behandlingsmåter og rutiner i en slik avtale, og at plikten uansett påhviler den behandlingsansvarlige.

Datatilsynet vil bemerke at behandlingsmåter og rutiner godt kan være beskrevet i et annet dokument enn selve avtaledokumentet. Det forutsettes imidlertid at behandlingsmåtene og rutinene enten ligger ved avtalen, eller at avtalen viser til det relevante dokumentet hvor disse er beskrevet.

Datatilsynet er enig i at den behandlingsansvarlige kan holdes fullt ut ansvarlig for manglende eller mangelfulle databehandleravtaler. Det er imidlertid ikke til hinder for at databehandleren holdes ansvarlig for eventuelle brudd på sine selvstendige plikter etter loven, jf dennes § 15 og 13.

Datatilsynet kan ikke se at det kommer frem nye momenter eller anførsler i klagen. Datatilsynet nøyer seg derfor med å vise til det som allerede står i vedtaket om dette.

5.5 Om analyse- og varslingstjenesten – avslag på konsesjonssøknaden

Selskapet klager på avslaget om å gi konsesjon for analyse- og varslingstjenesten. Selskapet viser særlig til at virksomhetens har stor betydning for å bekjempe mobil vinningskriminalitet som rammer detaljvarehandelen.

Datatilsynet bestrider ikke at virksomheten er nyttig og effektiv for å nå det angitte formålet. Datatilsynet bestrider heller ikke at oppdragsgivernes interesser i å bekjempe og avdekke kriminalitet er berettigede. Avslaget er i hovedsak begrunnet i at hensynet til borgeren ikke blir tilfredsstillende ivaretatt ved en slik behandling, og at samfunnsinteressen må antas å bli ivaretatt av den offentlige politi- og påtalemyndighet.

Datatilsynet kan ikke se at det kommer frem nye momenter eller anførsler i klagen og viser til vedtaket.

5.6 Om overtredelsesgebyr

Selskapet klager på ileggelse av overtredelsesgebyr. Det anføres at plikten til å inngå
databehandleravtaler, og rekkevidden av denne, er så vidt uklart regulert at det i henhold til legalitetsprinsippet ikke kan straffesanksjoneres gjennom overtredelsesgebyr.

De rettssikkerhetshensyn som gjør seg gjeldende når forvaltningen skal ilegge straff ble identifisert og behandlet av lovgiver under behandlingen forslaget om å gi kompetanse til å ilegge overtredelsesgebyr. At personopplysningsloven gjennomgående er svært skjønnsmessig ble ikke ansett å være et hinder for ileggelse av overtredelsesgebyr. Mens bare enkelte bestemmelser i loven er straffesanksjonert, ble det ikke satt noen tilsvarende begrensninger med hensyn til overtredelsesgebyr. Lovgiver fant at hensynet til en effektiv håndhevelse av lovens bestemmelser veier så tungt at det i utgangspunktet må være adgang til å ilegge gebyr for brudd på enhver bestemmelse. For å styrke partens rettssikkerhet i forbindelse med ileggelse av overtredelsesgebyr ble Datatilsynets skjønnsutøvelse relativt
bundet, jf vilkårene i § 46.

Datatilsynet vil bemerke at det i praksis er svært vanskelig å fastsette et gebyr som i alle tilfeller står i forhold til overtrederens økonomiske bæreevne. Dette gjelder særlig fordi det er satt en øvre beløpsgrense, som gjør at gebyret i enkelte tilfeller knapt vil være merkbart i overtrederens økonomi. Som eksempel nevnes Gjensidigesaken (13/00328) og Securitassaken (13/00329). Dersom Datatilsynet skal utmåle et gebyr som står i tilsvarende forhold til andre overtrederes økonomiske bæreevne, ville gebyrene i mange tilfelle bli symbolske. Datatilsynet har derfor i praksis lagt størst vekt på at gebyret må stå i et rimelig forhold til overtredelsens art og omfang.

I forlengelsen av dette vil tilsynet bemerke at overtredelsesgebyret i denne saken i hovedsak er begrunnet i de lovbruddene som selskapet må svare som behandlingsansvarlig for, nemlig at selskapet har behandlet opplysningene for egne formål, uten at det foreligger et behandlingsgrunnlag eller en gyldig konsesjon som dekker behandlingen, uten at det er etablert tiltak for å sikre at lovens vilkår etterleves ved behandlingen, uten at de registrertes rettigheter er tilstrekkelig ivaretatt og uten tilfredsstillende informasjonssikkerhet. Securitassaken er derved ikke direkte relevant i denne saken, jf også tilsynets vedtak om dette.

Datatilsynet kan heller ikke se at Gjensidigesaken er direkte relevant. Det vises til at Gjensidige ble ilagt overtredelsesgebyr for brudd på personopplysningslovens §§ 13 og 14, om internkontroll og informasjonssikkerhet. Forholdet i Gjensidigesaken er derved mer begrenset enn i foreliggende sak. Økonomiske hensyn tilsa allikevel at de ble ilagt et gebyr som er like høyt som i foreliggende sak.

Datatilsynet har besluttet å forlenge fristen på vedtakets punkt 1, 2 og 6 i tråd med klagers anmodning, slik at fristen løper ut tre måneder etter at Personvernnemnda har avgjort klagen.

6 Personvernnemndas merknader

Personvernnemnda har vurdert Arve Føyens habilitet. Føyen var kontorsjef i Datatilsynet i perioden 1980-83. Konsesjonen som ble gitt SK i 1981 ble signert av Føyen. Konsesjonen er imidlertid løpt ut for svært mange år siden. Konsesjonen som ble gitt den gang er heller ikke del av denne saken. På denne bakgrunn er nemnda kommet til at Arve Føyen ikke kan anses inhabil i saken.

Nemnda vil først adressere klagers anførsler knyttet til Bjarne Kvams bok «Politiets persondatarett». Kvam har uttalt i boken at norsk lov (personopplysningsloven) ikke er forenlig med EU-direktivet. I direktivet er ikke mistanke om straffbare forhold blitt kategorisert som sensitive opplysninger. I den norske loven er dette imidlertid blitt kategorisert som sensitive personopplysninger, jf personopplysningsloven § 2 nr 8 bokstav b). Til dette vil nemnda påpeke at det ikke var et krav om at direktivet måtte implementeres likt i alle EU/EØS-land (i motsetning til Kvams anførsel om at det var et fullharmoneringsdirektiv). Dette har resultert i noe ulike implementeringer i de ulike lands rett. Nemnda kan derfor ikke legge vekt på at direktivet ikke har kategorisert dette som sensitive personopplysninger. Nemnda legger norsk lov til grunn og således at mistanke om straffbare forhold er sensitive personopplysninger, jf personopplysningsloven § 2 nr 8 bokstav b), og behandling er dermed underlagt konsesjon, jf personopplysningsloven § 33. Det er ikke nemndas oppgave å overprøve lovgivningens holdbarhet. Nemnda viser til Finnanger-dommen (Rt 2000 s 1811) og legger til grunn at når norsk lovgiver har tatt uttrykkelig stilling til spørsmålet og eksplisitt kategorisert mistanke om straffbar handling som sensitiv personopplysning, så må nemnda legge norsk lov til grunn og det blir en lovgiversak om lovens innhold skal endres. 

Nemnda går så over til å drøfte konsesjon etter § 9 tredje ledd, jf Datatilsynets brev datert 5.11.2013. Datatilsynet har drøftet hvorvidt SK kan få konsesjon i brevet datert 5.11.2013. Datatilsynet konkluderte med at SK ikke kunne få konsesjon til sin analyse- og varslingstjeneste. Konsesjonsspørsmålet er ikke tatt inn i det senere vedtaket, men avslaget på konsesjon er påklaget av SK. Nemnda må derfor ta stilling til konsesjonsspørsmålet.

SK hadde en konsesjon fra 1994 som falt bort som følge av at personopplysningsloven erstattet personregisterloven i 2001. Videre hadde selskapet en begrenset konsesjon fra 2004 som gjaldt oppbevaring av personopplysninger i et «butikktyveriregister», noe som ikke omfattet analyse- og varslingstjenesten. Konsesjonen fra 2004 er dessuten bortfalt som følge av at konsesjonen hadde vilkår om meldeplikt hvert tredje år, noe som selskapet ikke har fulgt opp. Det er opplyst at SK startet opp analyse- og varslingstjenesten i 2006. Nemnda legger derfor til grunn at denne tjenesten er drevet uten konsesjon fra Datatilsynet.

Når SK opererer som databehandler for en oppdragsgiver som er en butikk (juridisk enhet, som oftest definert med eget foretaksnummer) så vil databehandleravtalen danne rammen for oppdraget. Avtalen må presisere hva databehandler kan gjøre for den enkelte juridiske enhet. Organiseringen av oppdragsgiver spiller inn for hva SK kan gjøre. Utgangspunktet til loven er at behandlingsansvaret tilligger den juridiske enheten. Den juridiske enheten kan være en enkelt butikk, men den juridiske enheten kan også være et konsern som omfatter flere butikker lokalisert flere steder. Dersom det er flere juridiske enheter må disse ha egne databehandleravtaler. Dette vil for eksempel gjelde i franchisesammenheng.

SK behandler opplysninger for den enkelte juridiske enhet som databehandler. SK kan etter oppdrag fra den enkelte juridiske enhet foreta analyser innenfor hva enheten selv kan gjøre. All annen behandling SK skal foreta av personidentifiserbare opplysninger krever konsesjon når det er tale om sensitive personopplysninger. I den grad opplysninger som SK behandler for den enkelte juridiske enhet er anonymisert omfattes de ikke av personopplysningsloven. Dette fordi opplysningene da ikke er å betrakte som personopplysninger. Følgelig kan slike opplysninger fritt overlates til SK for videre behandling. Nemnda understreker dog at det følger av forarbeider og juridisk teori at det stilles strenge krav til anonymisering av personopplysninger.

I den grad SK skal sammenstille sensitive personopplysninger som de mottar fra flere juridiske enheter må SK ha konsesjon. De konsesjonene SK har hatt tidligere har ikke åpnet for slik behandling. SK har ønsket å sammenstille og distribuere resultatet av analyser gjort på slike opplysninger. En konsesjon må derfor blant annet sette vilkår for hvordan personopplysningene eventuelt kan sammenstilles og hvordan resultatene kan distribueres.

Nemnda går så over til å vurdere om SK kan få konsesjon på grunnlag av den søknad som foreligger. Slik nemnda har tolket SKs søknad så har SK søkt om konsesjon til å tilby følgende tjenester:

      • SK Journal (Dette er en tidligere tjeneste. Etter hva nemnda forstår er det bare ansatte i SK som har tilgang til databasen nå. Kunder kan be om spesifikke søk i databasen.)
      • SK Varslingstjeneste
      • SK Analysetjeneste

Slik det fremgår av sakens dokumenter gjelder dette sammenstilling, analyse og distribusjon av personidentifiserbare opplysninger til andre juridiske enheter enn den opplysningen er samlet inn fra (etter databehandleroppdraget). For at konsesjonsspørsmålet skal oppstå er det en forutsetning at personopplysningene sammenstilles og at de ikke er anonymisert før så finner sted. Datatilsynet og SK synes å være uenige om hvorvidt ansiktssladding er tilstrekkelig for å anonymisere bilder. I fortalen nr. 26 til personverndirektivet (95/46/EF), er det uttalt at spørsmålet skal bedømmes ut i fra «alle hjelpemidler ... som det er rimelig å ta i bruk for å identifisere vedkommende, enten av den behandlingsansvarlige eller av en annen person.» Det kan derfor ikke utelukkes at dette er personopplysninger selv om ansiktet er sladdet. SK må derfor ha en konsesjon for å kunne tilby denne tjenesten.

SK har dels hevdet at den virksomheten de driver ikke er konsesjonsbelagt, dels at den allerede har konsesjon. Videre har SK hevdet, for det tilfelle at Datatilsynet mener at de ikke har konsesjon, at klagen kan betraktes som en søknad for SKs analyse- og varslingstjeneste og SK påklaget avslaget fra Datatilsynet. Konsesjonssøknaden inneholder derfor ikke en samlet fremstilling av de vanlige momenter som slike søknader normalt inneholder, i form av beskrivelse av konkret behandling, ansvarsforhold etc.

Nemnda har også registrert SKs ønske om å føre vitner for nemnda. Saksbehandlingen for nemnda er i all hovedsak skriftlig og nemnda kan ikke se at det er grunnlag for å fravike dette i denne saken. Nemnda utelukker ikke at den påberopte samfunnsmessige betydningen etter omstendighetene er et relevant moment i vurderingen av om konsesjon skal innvilges. Imidlertid er nemnda i konsesjonsspørsmålet kommet til det samme resultat som Datatilsynet, men på et annet grunnlag. I sitt avslag legger Datatilsynet til grunn at personopplysningsloven § 9 tredje ledd ikke kan gi hjemmel for den virksomheten som SK har søkt om. Nemnda mener at det etter omstendighetene i prinsippet kan foreligge hjemmel i § 9 tredje ledd, men at det må vurderes ut fra den enkelte søknad. Datatilsynet har i henhold til § 9 tredje ledd kompetanse til å gi konsesjon når det foreligger særlige samfunnsmessige hensyn. I et slikt tilfelle må det foretas en kvalifisert vurdering av hvilke særlige samfunnsmessige hensyn som foreligger. I vurderingen må det også foretas en forholdsmessighetsvurdering. Relevante momenter vil være identifiseringsgrad, spredningskrets, kvalitet og art på opplysningene, lagringsmåte, alvorligheten av gjerningene behandlingen skal dokumentere mot effekten av informasjonen og de personvernmessige konsekvenser. Det må også redegjøres for hvorledes det skjermes for overskuddsinformasjon. Ut fra den søknaden (klagen) som foreligger i dette tilfellet, kan nemnda ikke se at det foreligger en tilstrekkelig dokumentasjon for å kunne avveie alvorlighetsgraden av gjerningene mot effekten av informasjonen og de personvernmessige konsekvenser for hver enkelt form for databehandling. Ytterligere informasjon om den samfunnsmessige nytten av tjenestene vil ikke avhjelpe dette. Nemnda er altså enig med Datatilsynet i at konsesjon ikke kan innvilges på bakgrunn av innsendt materiale.

Personvernnemnda skal så ta stilling til de påklagede vedtakspunkt: punkt 1, 2, 5, 6 og 7. Datatilsynet har forlenget fristen i vedtakets punkt 1, 2 og 6 til tre måneder etter at nemndas vedtak foreligger.

1.   AS Skan-Kontroll må senest innen 1.3.2014 etablere databehandleravtaler for alle løpende og fremtidige databehandleroppdrag, jf personopplysningslovens § 15.

Nemnda finner at de databehandleravtaler som er fremlagt gjennomgående er ufullstendige og utilfredsstillende. Nemnda gir derfor sin tilslutning til Datatilsynets vedtak, med frist for gjennomføring innen tre måneder etter at nemndas vedtak foreligger.

2.   AS Skan-Kontroll må senest innen 1.4.2014 avslutte sin behandling av personopplysninger som ikke er omfattet av et avtaleregulert databehandleroppdrag som nevnt i pkt 1, jf personopplysningslovens§ 15. Opplysningene må enten slettes eller tilbakeføres til den behandlingsansvarlige. Det vises til kontrollrapportens punkt 6.3.

Nemnda viser til de innledende kommentarer om konsesjonsplikt for SKs selvstendige virksomhet som behandlingsansvarlig. Nemnda gir derfor sin tilslutning til Datatilsynets vedtak, med frist for gjennomføring innen tre måneder etter at nemndas vedtak foreligger.

5.   AS Skan-Kontroll må senest innen 1.4.2014 etablere tilstrekkelig informasjonssikkerhet ved å avslutte sin praksis med å sende personopplysninger med behov for konfidensialitetsbeskyttelse over ukryptert e-post, jf personopplysningsloven § 13, jf. personopplysningsforskriften § 2-11. Det vises til kontrollrapportens punkt 6.4.5.1.

Sladdede bilder kan etter omstendighetene i det enkelte tilfelle anses som anonymisert. I den grad bilder ikke i tilstrekkelig grad er anonymisert, må de anses som personopplysninger som kan være sensitive. Slike bilder må sikres på en tilfredsstillende måte for eksempel ved kryptering, basert på en konkret vurdering av behovet for konfidensialitet. Nemnda gir derfor sin tilslutning til Datatilsynets vedtak.

6.   AS Skan-Kontroll må senest innen 1.6.2014 etablere tilstrekkelig informasjonssikkerhet ved sin lagring av personopplysninger i SK-journal ved at det etableres løsning for segmentering av personopplysninger fra ulike behandlingsansvarlige, jf. personopplysningsloven § 13, jf personopplysningsforskriften §§ 2-11 og 2-14. Det vises til kontrollrapportens punkt 6.4.5.4.

 SK er databehandler for en rekke oppdragsgivere. SK er ikke selv behandlingsansvarlig for disse opplysningene. Da må det etableres tilstrekkelig informasjonssikkerhet og adgangskontroll for disse personopplysningene slik at det klart fremgår hvilken juridisk enhet som er eier og behandlingsansvarlig av de enkelte registreringene, og tilgangsmekanismer som sikrer at opplysninger som tilhører en juridisk enhet ikke blandes med, eller sammenstilles med, opplysninger som tilhører en annen juridisk enhet. Datatilsynet anfører (punkt 6.4.5.4 i endelig kontrollrapport), at for å oppnå tilstrekkelig informasjonssikkerhet og adgangskontroll må det etableres tiltak for at opplysninger som er samlet inn fra en behandlingsansvarlig for et formål, ikke skal kunne blandes med opplysninger fra en annen behandlingsansvarlig for et annet formål. Dette er nemnda enig i.

Datatilsynet anfører videre at for å oppnå dette, må dataene segmenteres. Med segmentering forstås at dataene lagres i adskilte databaser, evt. også at de lagres fysisk adskilt fra hverandre. Datatilsynet velger altså å foreskrive en bestemt teknisk løsning (segmentering) for å oppfylle lovens krav til informasjonssikkerhet og adgangskontroll. Nemnda mener det er mulig å oppfylle lovens krav til dette på andre måter enn segmentering, og mener at pålegget må være at lovens krav til informasjonssikkerhet og tilgang oppfylles, enten dette gjøres ved bruk av segmentering eller det benyttes en annen løsning.

I punkt 6.4.5.4 i endelig kontrollrapport skriver Datatilsynet at søkefunksjonen i systemet er problematisk, fordi et søk kan omfatte gjennom alle data i databasen, uten hensyn til hvilken juridisk enhet dataene behandles på vegne av. Det er ikke vanskelig å lage en teknisk søkefunksjon der det må oppgis hvilken juridisk enhet det søkes på vegne av, og der poster som ikke tilhører denne enheten automatisk filtreres fra resultatsettet før dette vises.

Imidlertid finnes det brukstilfeller der det ikke vil være i strid med kravene til informasjonssikkerhet og adgangskontroll at poster fra flere juridiske enheter inngår i søkesettet. Av de databehandleravtaler som foreligger, fremgår det at «Databehandler skal på forespørsel utlevere […] informasjon til påtalemyndighet/Politiet». Det kan ikke utelukkes at en slik forespørsel fra politiet vil dreie seg om bestemte modi eller gjerningspersoner, uten at politiet kan angi hvilken juridisk enhet den etterspurte informasjonen er tilknyttet. For å kunne utføre denne oppgaven i tråd med mandatet i databehandleravtalene fra de enkelte behandlingsansvarlige, må SK kunne gjøre søk i materialet uten å vite hvem som er databehandleransvarlig for dataene. Dette tilsier at det i et slikt tilfelle skal være mulig å søke i hele datamassen (kun for de data hvor databehandleravtalen angir at slik utlevering skal skje).

De enkelte kunder (juridiske personer) inngår databehandleravtale med SK som firma. Det vil da være opp til SK å instruere den enkelte ansatte om utførelse av søk: det være seg i én enkelt kundes datamasse, eller i flere kunders datamasse. Det er ikke noe i veien, rettslig sett, for at den samme ansatte kan ha tilgang til informasjon fra flere kunder samtidig. Det innebærer at om man segmenterer eller om man oppbevarer all informasjon samlet, vil søk i begge tilfelle kunne være innenfor rammen de enkelte databehandleravtaler, og således være lovlig.

Det som imidlertid er problematisk rettslig sett, er om de enkelte kunder (behandlingsansvarlige) får direkte tilgang til datalager hos SK. Det kan kun skje innenfor rammen av en databehandleravtale hvis dataene enten er segmentert, eller databasen har et tilgangskontrollsystem som begrenser kundens innsyn til egne data. Kundens tilgang begrenses da til kundens egne data.

7.  AS Skan-Kontroll pålegges å betale et overtredelsesgebyr til statskassen, pålydende kroner seks hundre tusen, for å ha behandlet personopplysninger i strid med personopplysningslovens§ 15, § 11 jf 8 og 9, § 14 og§ 13. Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. personopplysningslovens § 47a.

Nemnda har vurdert SKs anførsler på dette punkt. SK har behandlet personopplysninger uten behandlingsgrunnlag, og uten konsesjon siden 2006 med sin analyse- og varslingstjeneste. Informasjonssikkerhet og rettighetene til de registrerte er ikke ivaretatt. SK har i en periode tillatt en tredjepart å søke i sin database (utlevering til bakgrunnssjekk-foretaket Semac AS, som er et datterselskap av SK). Av dokumentasjonen i saken fremgår at oppslag på ansatte i butikker har utgjort ca 300 søk pr år. Av Semacs redegjørelse av 4.9.2013 fremgår at søk i SKs databaser kun har foregått i forbindelse med deres bakgrunnssjekk i data tilhørende den aktuelle kunden hos SK.  Det hevdes således at det kun ble søkt i opplysninger vedrørende ansatte innenfor det enkelte rettssubjekt, og at data vedrørende ansatte i andre rettssubjekt ikke var gjenstand for søk. Tjenesten opphørte i forbindelse med Datatilsynets inspeksjon.

Datatilsynet pålegger SK en bot på kr. 600 000. Dette er en betydelig straff, hensett til Datatilsynets hjemmel for ileggelse av straff, som maksimalt er på 10 G. For at en straff skal komme til anvendelse må det dokumenteres ut over enhver rimelig og fornuftig tvil at det foreligger straffbart forhold. Videre må botens størrelse stå i forhold til alvorlighetsgraden av den eller de straffbare handlingene. Det må også foretas en strafferettslig subsumering av hvert enkelt faktisk forhold under relevant lovbestemmelse som anses overtrådt, med vurdering av vedkommende overtredelses alvorlighetsgrad. Personvernnemnda kan ikke se at det er gjort på en tilstrekkelig klar måte i dette tilfellet.

Personvernnemnda vil på bakgrunn av ovenstående be Datatilsynet å foreta en fornyet vurdering av overtredelsen av hver enkelt av de paragrafer som er angitt i Datatilsynets vedtakspunkt 7. I denne vurderingen bes Datatilsynet dels å legge til grunn nemndas øvrige vedtak i denne saken og dels angi de faktiske forhold som etter Datatilsynets vurdering begrunner at det med tilstrekkelig strafferettslig sannsynlighetsovervekt foreligger et straffeansvar. Dette er nødvendig for å få en mulig klageadgang på boten og grunnlaget for utmåling. For hver overtredelse må det også foretas en vurdering av overtredelsens alvorlighetsgrad, sett i forhold til størrelsen på den straff som ilegges.

7 Vedtak

Klagen tas ikke til følge, med unntak for punkt 6 i Datatilsynets vedtak. Når det gjelder punkt 7 i Datatilsynets vedtak, bes Datatilsynet om å foreta en fornyet vurdering av overtredelsene og gebyrets størrelse.

 

 

Oslo, 27. oktober 2014

Eva I E Jarbekk
Leder