Datatilsynets referanse: 11/00514-21/HTE

PVN-2014-19 Bergen Bydrift

Klage på Datatilsynets vedtak om behandlingsansvar

Personvernnemndas avgjørelse av 17. desember 2015 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak om behandlingsansvar.

2 Saksgang

Datatilsynet mottok en klage datert 2. april 2014 fra Bergen Bydrift AS (heretter BB). Klagen gjaldt Datatilsynets vedtak av 12. mars 2014.
     I brev av 8. november 2011 ble BB bedt om å redegjøre for om virksomheten anser seg som behandlingsansvarlig for henholdsvis GPS- og sensorsystemene Mowic og Mipps. Den 29. november 2011 svarte BB med at de ikke anså seg som behandlingsansvarlig for systemene og henviste til den dialogen virksomhetene har hatt med Samferdselsetaten (Bergen kommune) og Mesta.
     I brev av 26. mars 2012 rettet Datatilsynet en rekke spørsmål til Samferdselsetaten og Mesta om Mipps og Mowic. Mesta og Samferdselsetaten svarte tilsynet i brev av henholdsvis 20. og 26. april 2012.
     I brev av 12. september 2013 ble BB varslet om at Datatilsynet ville fatte følgende vedtak:

BB AS er behandlingsansvarlig for de personopplysninger som registreres og utleveres fra sine kjøretøy til henholdsvis Samferdselsetaten (gjennom systemet Mowic) og Mesta (gjennom systemet MIPPS).

I brev av 2. oktober 2013 kommenterte BB tilsynets varsel om vedtak. Den12. mars 2014 fattet Datatilsynet vedtak i tråd med varselet. Den 2. april 2014 klaget BB på Datatilsynets vedtak.
     Saken ble oversendt Personvernnemnda 8.9.2014, som mottok saken 17.9.2014. Klager ble orientert om dette i brev fra nemnda datert 17.9.2014, med frist til uttalelse innen 17.10.2014.
     Etter at nemnda hadde påbegynt saksbehandlingen oppsto det spørsmål vedrørende faktumfremstillingen i saksdokumentene. Nemnda stilte spørsmål til Mesta og Bergen kommune i brev av 13.5.2015. Nemnda purret på svar i brev av 17.6.2015. Nemnda mottok svar fra Mesta i brev av 25.6.2015. Nemnda mottok svar fra Bergen kommune (Trafikketaten) i epost av 3.8.2015.

3 Faktum

BB er et privat foretak som arbeider med vei, vann og avløp i Bergen kommune. BB utfører vinterdrift, dvs. brøyting og strøing, av nærmere bestemte veier etter avtale med Samferdselsetaten i Bergen kommune (heretter Samferdselsetaten) og Mesta Drift AS (heretter Mesta). I disse avtalene har BB forpliktet seg til å ha GPS- og sensorsystemer i sine kjøretøy som benyttes til å utføre oppgavene. Samferdselsetaten og Mesta krever at BB skal ha systemene Mowic og Mipps installert. Formålet med systemene er å samle inn opplysninger for å sikre Samferdselsetaten og Mesta informasjon i forbindelse med eventuelle erstatningssaker ved skade på kjøretøy og annet. Samferdselsetaten og Mesta står selv for installeringen av systemene, og datastrømmen fra systemene går direkte til dem.
     Opplysningene som samles inn av sensor og GPS-data på BBs kjøretøy (Mowic og Mipps) går utenom BB og rett til Samferdselsetaten og Mesta. Det skjer således ingen rutinemessig utveksling av opplysninger mellom aktørene – heller ikke motsatt vei, ved at det gis ut informasjon til BB om registrerte data til personalsaker eller lignende.
     BB ble i utgangspunktet klaget inn til Datatilsynet av arbeidstakerorganisasjonen Parat. Problemstillingen gjaldt da BBs innføring av flåtestyringssystemet SAGAsystem. Dette systemet valgte BB å avvikle. På bakgrunn av BBs redegjørelse knyttet til flåtestyringssystemet SAGAsystem, valgte Datatilsynet å vurdere om BB anså seg som behandlingsansvarlig for opplysningene som blir behandlet i systemene Mowic og Mipps. Samferdselsetaten og Mesta svarte i sine svarbrev til Datatilsynet at de oppfattet seg som behandlingsansvarlige for henholdsvis Mowic og Mipps, idet det var de som eide utstyret, valgte løsningene og mottok informasjonen fra utstyret. Datatilsynet fattet vedtak om at BB er behandlingsansvarlig. Det er dette vedtaket som er påklaget.

4 Klagers anførsler

BB mener at det ut fra en alminnelig språklig fortolkning av lovens ordlyd, vil være mest naturlig å legge til grunn at Mesta og Samferdselsetaten er behandlingsansvarlige for den behandlingen som blir foretatt i Mipps og Mowic. Det vises til at det er de som har bestemt hva opplysningene skal brukes til og hvordan opplysningene skal innhentes og behandles videre. Det at hjelpemidlene installeres i BBs kjøretøy, eller at virksomheten bidrar med innsamlingen av data, kan ikke være avgjørende. BB viser til Ot.prp. nr. 92 kapittel 16, der det heter at «[s]elv om den behandlingsansvarlige setter bort behandlingsoppdrag til andre («outsourcing»), vil man fortsatt være behandlingsansvarlig». Det vises videre til Artikkel 29-gruppens uttalelse 1/2010 «on the concepts of "controller" and "processor"» til støtte for sitt syn. BB viser til følgende uttalelse på side 8:

an analysis of the factual elements or circumstances of the case: one should look at the specific processing operations in question and understand who determines them, by replying in a first stage to the questions  ''why is this processing taking place? Who initiated it?"

BB er av den oppfatning at Samferdselsetaten og Mesta bør anses som behandlingsansvarlige siden de tok initiativet til å ta inn kontraktsklausulene (få på plass systemene) og innholdet i disse. BB ser sin rolle som rent instrumentell. BB er videre av den oppfatning at kontraktsklausulene som Samferdselsetaten og Mesta tok initiativ til må betraktes som et pålegg.
     BB anser seg som en oppdragstager og at de i den forbindelse vil være å anse som en databehandler. BB ber derfor Personvernnemnda oppheve Datatilsynets vedtak, slik at Samferdselsetaten og Mesta blir å anse som behandlingsansvarlige.

5 Svar fra Mesta

Mesta har uttalt at Mesta benytter seg av systemet Mipps ved logging av produksjonsdata. Mipps er et datasystem laget for å logge og dokumentere produksjonsdata i henhold til krav om elektronisk dokumentasjon i kontraktene med Statens vegvesen. Mipps har aldri vært brukt til å logge og dokumentere produksjon overfor Samferdselsetaten i Bergen. BB var i perioden høsten 2010 - høsten 2012 underentreprenør for Mesta i forbindelse med vinterdrift i kontrakten Stor-Bergen som Mesta da hadde med Statens vegvesen. Mipps var innmontert i åtte kjøretøy fra høsten 2010 til november 2012. Etter dette har det ikke vært aktivt Mipps-utstyr i noen av kjøretøyene til BB og følgelig heller ingen produksjonslogging til Mipps fra disse.
     Mesta er ikke kjent med at BB eller Samferdselsetaten i Bergen har hatt tilgang til produksjonsdata logget i Mipps fra kjøretøy tilhørende BB.
     Registreringsnummer og opplysninger om eier og leverandør beholdes ett år i Mipps, etter ett år akkumuleres data på veinivå og alle andre opplysninger enn produksjon per produksjonstype per vei slettes.
     Mesta og Mipps har aldri hatt opplysninger om hvem som har vært førere av kjøretøyene eid av BB når disse kjøretøyene har produsert for Mesta. Siste produksjon var i 2012 og Mesta har derfor heller ingen data som kan knyttes til BBs kjøretøy.
I Mipps lagres kun registreringsnummer, bilmodell, type kjøretøy, eier, plassering under produksjon og kontaktperson for montering av utstyr.
     Mipps har ingen informasjon om hvem som er fører av kjøretøy og slike data kan følgelig ikke bli lagret. Mesta har en klar policy på at produksjonsdata logget i Mipps ikke under noen omstendighet skal kunne kobles til førere, vaktlister etc.
     Dersom det skulle oppstå tvist rundt hvorvidt Mesta har oppfylt sine kontraktsforpliktelser, kan datafangsten fra Mipps benyttes til å dokumentere at Mesta har oppfylt sine kontraktsforpliktelser. Det er vanskelig for Mesta å svare på hvordan et eventuelt erstatningskrav vil bli beregnet, da dette er opp til den som fremmer kravet. Dersom byggherre fremmer krav vil kravets størrelse som oftest forankres i kontraktens bestemmelser, mens en tredjepart vil kreve å få dekket sitt økonomiske tap. I utgangspunktet vil det ikke være aktuelt å rette regresskrav mot egne ansatte. Mesta har ikke noen gang rettet et regresskrav mot egne ansatte som følge av mangler ved produksjonen. Mesta vil uansett ikke koble Mipps-data mot vaktlister/sjåfører. Dette vil naturligvis gjelde også i saker hvor det skulle være grunnlag for regresskrav mot egne ansatte, innleide eller underentreprenører.
     Mesta vil ikke utlevere Mipps-data til andre enn kontraktspartene, byggherre og underentreprenør, med mindre man skulle være rettslig forpliktet ved lov, forskrift eller dom, eller det er innhentet samtykke. Dette innebærer at i en sak hvor en tredjepart retter krav mot Mesta, vil ikke Mipps-data med kjøretøyidentifikasjon benyttes som dokumentasjon med mindre det er gitt samtykke.

6 Svar fra Trafikketaten (tidligere Samferdselsetaten)

Trafikketaten (tidligere Samferdselsetaten) i Bergen kommune har uttalt at de opplysninger som lagres i Mowic-systemet er utelukkende informasjon om kjøretøyets plassering, fart, retning og liknende.
     Trafikketaten har på ny vært i kontakt med Mowic for å få bekreftet at ovennevnte stemmer. Av svaret fra Mowic fremgår at tabellen som ble oversendt i epost til Trafikketaten i 2012 kan være noe endret, men at kravene til data stort sett er uforandret. I den første tabellen finnes data som endres kontinuerlig. Informasjonen gir et nåtidsbilde av kjøretøyet, men lagres ikke. I den andre delen av tabellen finnes historikken, herunder informasjon om kjøretøyets plassering, fart og retning. Det stemmer at det er denne informasjonen som lagres.
     Til opplysning knyttes opplysningene som lagres med en sekssifret ID som er unik for GPS­enheten i kjøretøyet i Mowic-systemet. Opplysningene knyttes ikke til navn.
     Når det gjelder sjåførlister/vaktlister skrev Trafikketaten at det utelukkende var kommunen som hadde tilgang til opplysningene gjennom Mowic-systemet. Nemnda har stilt spørsmål ved om dette stemmer og ønsker en bekreftelse på at det er korrekt at de ovennevnte opplysningene ikke i noen tilfeller kobles med sjåførlister/vaktlister av verken Mesta, Trafikketaten, BB eller andre. Det stemmer at det kun er Trafikketaten som har tilgang til systemet. Trafikketaten har fem brukere av Mowic-systemet. Tre av disse brukerne er såkalte superbrukere, som innebærer at de har sin egen brukerprofil. De to siste brukerprofilene kan benyttes av etatens øvrige ansatte. I praksis skjer dette imidlertid sjelden, ettersom etatens øvrige ansatte kontakter de tre med egne brukerprofiler dersom de har spørsmål knyttet til Mowic-systemet.
     Trafikketaten vil bemerke at det utelukkende er informasjon om selve kjøretøyet som er relevant informasjon. Det kobles ikke informasjon fra Mowic-systemet opp mot sjåførlister/vaktlister.
     Nemnda stiller til sist en rekke spørsmål ved hvordan de registrerte opplysningene benyttes i praksis. Som nevnt i Trafikketatens brev til tilsynet av 26.4.2012 er formålet med GPS-systemet at kommunen skal kunne ha oversikt over at entreprenører har utført vinterdriften på kommunale veger i henhold til avtale. Videre gjør GPS-systemet det mulig for den enkelte sjåfør å melde inn feil med nøyaktig stedsangivelse. Informasjon fra GPS-systemet gjør i tillegg at saksbehandlingen av erstatningssaker, med bakgrunn i brøyteskader, vesentlig forenkles.
     Nemnda har spurt om dette innebærer at opplysningene benyttes i skadetilfeller og/eller ved kontraktsbrudd, hvordan slike saker vil bli behandlet og hvordan det økonomiske oppgjøret vil bli beregnet. Mowic-systemet benyttes hovedsakelig der Trafikketaten mottar informasjon fra publikum om at kommunens veger ikke har vært brøytet. I disse tilfellene kan man gå inn i systemet for å sjekke om BBs kjøretøyer har brøytet på det aktuelle sted eller ikke. Hvis entreprenør ikke har brøytet, tar Trafikketaten kontakt med dem for å følge opp. Dette fungerer veldig greit i praksis og det foreligger ikke tilfeller hvor Trafikketaten overfor BB har gjort gjeldende at det foreligger kontraktsbrudd.    
     Til nemndas siste spørsmål, som er om det i konkrete saker blir utlevert opplysninger om kjøretøyene fra Mowic til BB, framgår det at systemet kan benyttes i forbindelse med skadetilfeller, herunder brøyteskader. Ettersom det er mulig for den enkelte sjåfør å melde inn feil/skade ved direkte stedsangivelse, og sjåføren registrerer feil/skadested, er det lett for Trafikketaten å innhente informasjon om hvor feilen er eller hvor skaden har oppstått. I mange tilfeller blir imidlertid feil eller skadested ikke registrert. I disse tilfellene kan Trafikketaten hente ut opplysninger fra Mowic om hvorvidt kjøretøyet har vært/ikke har vært på det aktuelle stedet i det aktuelle tidsrommet. Som i andre tilfeller, der Trafikketaten har en driftskontrakt med entreprenør, vil Trafikketaten oversende erstatningskravet til BB med kjøretøy-ID. Hvordan det økonomiske oppgjøret mellom BB og skadelidte blir beregnet, er Trafikketaten ikke en del av.

7 Datatilsynets vurdering

Behandlingsansvarlig defineres i personopplysningslovens § 2 nr. 4 som: «den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes».
     Datatilsynet har i denne saken lagt til grunn at BB er behandlingsansvarlig for den registrering av personopplysninger som skjer i systemene Mowic og Mipps, samt utlevering av personopplysninger som skjer til hhv. Samferdselsetaten og Mesta. Likeledes vil Samferdselsetaten og Mesta være behandlingsansvarlige for personopplysningene som innhentes gjennom de respektive systemene.
     Datatilsynet er av den oppfatning at BB er behandlingsansvarlig for utlevering av personopplysninger fra sine kjøretøy til hhv. Mesta og Samferdselsetaten.  Tilsynet er videre av den oppfatning at Mesta og Samferdselsetaten er behandlingsansvarlige for de personopplysninger de innhenter gjennom sine respektive systemer.
     I vurderingen er det lagt til grunn at BB har inngått kommersielle avtaler med Mesta og Samferdselsetaten, og tillatt de å installere enheter som gjør det mulig å innhente en rekke personopplysninger om BBs ansatte. Hvem som tok initiativ til å innta kontraktsklausulene er etter tilsynets vurdering underordnet, siden BB ved å akseptere kontraktsklausulene må anses for å ha bifalt at personopplysninger blir behandlet på de betingelser som avtalen regulerer. Mesta og Samferdselsetaten vil følgelig ikke kunne ha behandlet personopplysninger gjennom systemene Mowic og MIPPS uten BBs aksept.
     BB tilgjengeliggjør sine kjøretøy, slik at Mesta og Samferdselsetaten kan ha installert sine systemer og innhente sjåførenes personopplysninger. Når BB legger til rette for en slik innhenting av personopplysninger, blir tilretteleggingen å anse som en utlevering av personopplysninger.  Formålet med BBs behandling vil være å oppfylle sine kontraktsforpliktelser overfor hhv. Mesta og Samferdselsetaten.
     Det vises i den forbindelse til Artikkel-29 gruppens uttalelse nr. 1/2010 «On the concepts of "controller" and ''processor"» uttalelse på side 11:

Control stemming from factual influence. This is the case where the responsibility as controller is attributed on the basis of an assessment of the factual circumstances. In many cases, this will involve an assessment of the contractual relations between the different parties involved. This assessment allows for the drawing of external conclusions, assigning the role and responsibilities of controller to one or more parties. This might be particularly helpful in complicated environments, often inclined to see themselves as ''facilitators" and not as responsible controllers.

Artikkel-29 gruppen viser her til at behandlingsansvar kan fastslås ved en vurdering av de faktiske omstendigheter, og at dette kan gjøres ved å vurdere kontrakt forholdet mellom de forskjellige parter. Artikkel 29-gruppen sier videre i det påfølgende avsnittet:

It may be that a contract is silent on who is the controller, but contains sufficient elements to assign the responsibility of controller to a party that apparent/y exercises a dominant role in this respect. It may also be that the contract is more explicit as to the controller. If there is no doubt that this accurately reflects the reality, there is nothing against following the terms of the contract. However, the terms of a contract are not decisive under all circumstances, as this would simply allow parties to allocate responsibility where they think fit.

Partene kunne ha valgt en løsning der BB sto for selve installeringen, slik at datastrømmen gikk via BB. Datatilsynet antar at BB i en slik løsning ikke ville hatt innsigelser mot at de da var å betrakte som en behandlingsansvarlig.
     Hvilke praktiske løsninger kontraktspartene har valgt, skal etter tilsynets vurdering ikke være avgjørende for hvem som er å betrakte som behandlingsansvarlig. Spørsmålet om hvem som er å anse som behandlingsansvarlig skal i følge Datatilsynet samt Artikkel-29 gruppens mening baseres på bakgrunn av de faktiske omstendighetene mellom kontraktspartene.
     Datatilsynet har lagt til grunn at BB står fritt til å velge hvilke avtaler og avtalevilkår som skal aksepteres. Tilsynet er innforstått med at i en forhandlingssituasjon som skal munne ut i en gjensidig bebyrdende avtale vil en part kunne ha støtte innflytelse til å diktere
avtalebetingelser. Det til tross vil parten like fullt ha adgang til å trekke seg fra forhandlingene og avtalen, hvis avtalebetingelsene ikke kan aksepteres. Datatilsynet forstår BB, som er heleid av Bergen kommune, har oppfattet avtalevilkårene som et pålegg. Det at kommunen skal ha instruert BB i hvordan oppdragsbetingelsene skulle være, vil etter tilsynets vurdering, ikke frita BB fra det ansvaret de har overfor egne ansatte. BB vil derfor være å anse som
behandlingsansvarlig for den behandlingen (overvåkingen) som de ansatte utsettes for.
     Det er de ansattes personopplysninger som behandles gjennom GPS- og sensorsystemene og som gjøres til en del av avtalen. Samferdselsetaten og Mesta ville verken ha adgang til å installere GPS- og sensorsystemene i BBs kjøretøy eller behandle de ansattes
personopplysninger uten BBs aksept. BBs aksept er følgelig nødvendig for at personopplysningene skal kunne registreres og utleveres.  Det er gjennom arbeidsgivers styringsrett samt et rettslig grunnlag i personopplysningsloven § 8 bokstav f), at de ansattes personopplysninger blir registrert og utlevert.
     Begrepet personopplysning er definert i lovens § 2 nr. l) som opplysninger og vurderinger som kan knyttes til en enkeltperson. Et GPS- og sensorsystem vil registrere lokasjonen og bevegelser til virksomhetens kjøretøy, og i praksis føre til lokalisering og registrering av den enkelte ansattes handlinger. En slik registrering blir således å anse som en behandling av personopplysninger. Dette gjelder uavhengig av om den behandlingsansvarlige
faktisk har tilgang til personopplysningene eller identiteten til den registrerte, så lenge den behandlingsansvarlige faktisk kan få tak i opplysningene.
     BB er den virksomheten som har bestemmelsesrett over opplysningene og den elektroniske behandlingen av disse, jf NOU 1997:19 s. 132 nr. 4. BB vil følgelig ikke kunne betraktes som en databehandler, jf personopplysningsloven § 2 nr. 5.
     Et annet hensyn er at det vil fra de ansattes ståsted være svært uheldig om arbeidsgiver ikke var å anse som behandlingsansvarlig. Ansatte som «den registrerte» blir da henvist til arbeidsgivers medkontrahent for å kunne ivareta sine rettigheter etter personopplysningsloven. Det vil således være vanskelig for de ansatte å utøve innflytelse på hvordan deres personopplysninger blir behandlet.
     Arbeidsgiver vil i en slik situasjon ha en avgjørende innflytelse på hvordan de ansattes personopplysninger blir behandlet, men samtidig unndra seg et hvert ansvar som den behandlingsansvarlige har i følge personopplysningsloven. Datatilsynet er av den oppfatning at en slik konstruksjon vil stride med den forståelsen av behandlingsansvarlig som utledes av personopplysningsloven.

8 Personvernnemndas syn

Datatilsynet og BB har lagt til grunn at det er personopplysninger som behandles og problemstillingen i saken er plassering av behandlingsansvar for opplysninger i Mipps og Mowic hos enten BB eller hos henholdsvis Mesta og Trafikketaten.
     Begrepet behandlingsansvarlig er definert i personopplysningsloven § 2 nr 4 slik:

behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes

I forarbeidene (Ot prp nr 92 side 102 spalte 2) er det uttalt at «Den behandlingsansvarlige er den som alene eller sammen med andre har bestemmelsesrett over personopplysningene og den elektroniske behandlingen av disse». «Personopplysningsloven kommentarutgave» (Johansen, Kaspersen, Bergseng Skullerud 2001) gir uttrykk for det samme, jf s 71.
     Definisjonen av behandlingsansvarlig er dessuten nærmere drøftet i flere av Personvernnemndas avgjørelser, herunder PVN-2007-01. I nevnte sak uttalte nemnda at spørsmålet om hvem som er behandlingsansvarlig normalt avgjøres ut fra momenter som hvem et prosjekt eller arbeid er initiert av, hva de registrerte blir informert om i forhold til ansvar, hvor man skal henvende seg ved innsyn, retting, sletting etc. og hvordan/hvem som finansierer arbeidet. De samme momenter ble vektlagt i PVN-2011-10, PVN-2013-21 og PVN-2014-04.
     Nemnda legger til grunn at det er Mesta og Trafikketaten som har initiert installasjonen, kjøpt løsningen og som mottar opplysningene og bestemmer over bruken av disse, og at BBs kjøretøy utelukkende er instrument for Mestas og Trafikketatens automatiserte datafangst. Datastrømmen går ikke via BB, men direkte til Mesta og Trafikketaten. Dette er således ikke et kontrolltiltak som er iverksatt av arbeidsgiver (BB).

Nemnda har derfor konkludert med at Mesta og Trafikketaten er nærmest til å være behandlingsansvarlig for opplysninger som behandles i systemene Mipps og Mowic.   

9 Vedtak

Klagen tas til følge.

 

 

Oslo, 17. desember 2015

Eva I E Jarbekk
Leder