Datatilsynets referanse: 14/00071-21/CBR

PVN-2015-04 FaVer AS

Klage på Datatilsynets vedtak om overtredelsesgebyr for mangler ved databehandleravtaler

Personvernnemndas avgjørelse av 18. januar 2016 (Olav Torvund, Ingvild Hanssen-Bauer, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak om overtredelsesgebyr for mangler ved databehandleravtaler.

2 Saksgang og faktum

Datatilsynet gjennomførte kontroll den 11. februar 2014 hos FaVer AS (heretter FaVer eller selskapet). Kontrollen skjedde med hjemmel i personopplysningsloven § 42 tredje ledd nr 3.
Kontrollen var knyttet til selskapets behandling av personopplysninger i forbindelse med utøvelse av oppdrag, særlig knyttet til utredning av forsikringskrav på vegne av forsikringsselskaper.
     Tilsynet fant mangler ved selskapet etterlevelse av personopplysningslovens bestemmelser om databehandleravtaler og informasjonssikkerhet. Disse ble beskrevet i en foreløpig kontrollrapport av 11. mars 2014. Samme dag ble det varslet om at tilsynet ville gi pålegg for å bringe behandlingen i lovlige former, og at det ville bli ilagt overtredelsesgebyr.
     Etter å ha vurdert selskapets to tilsvar av 18. mars og 7. april 2014 ble det fattet følgende vedtak den 28. mai:

Med hjemmel i personopplysningsloven § 46 gir Datatilsynet følgende pålegg:

1.   FaVer AS må inngå databehandleravtaler som regulerer hvordan behandlingen av personopplysninger skal gjennomføres, med eksisterende og fremtidige oppdragsgivere, jf personopplysningsloven § 15. Det vises til tilsynsrapportens punkt 5.2.5.

2.  FaVer AS må avslutte sin behandling av personopplysninger som ikke, innen fastsatt frist, er omfattet av et avtaleregulert databehandleroppdrag som nevnt i pkt 1, jf personopplysningslovens§ 15. Opplysningene må enten slettes eller tilbakeføres til den behandlingsansvarlige. Det vises til kontrollrapportens punkt 5.3.6.

3.   FaVer AS må etablere tilgangsstyring ut fra tjenstlig behov til Advisor, jf personopplysningsloven § 13, jf personopplysningsforskriften § 2-13 og § 2-4. Der vises til kontrollrapportens punkt 5.4.3

4.   FaVer AS må etablere en løsning for segmentering av personopplysninger fra ulike behandlingsansvarlige, jf personopplysningsloven § 13, jf personopplysningsforskriften §§ 2-11 og 2-14. Det vises til kontrollrapportens punkt 5.4.5.

5.   FaVer AS pålegges å betale et overtredelsesgebyr til statskassen, pålydende 150.000 kr – kroner ett hundre og femti tusen – for å ha behandlet personopplysninger på vegne av sine oppdragsgivere uten å etablere tilfredsstillende databehandleravtaler, og uten å sørge for tilfredsstillende informasjonssikkerhet ved behandlingen.

Saken ble oversendt Personvernnemnda 9.1.2015, som mottok saken 15.1.2015. Klager ble orientert om dette i brev fra nemnda datert 20.1.2015, med frist til uttalelse innen 16.2.2015. Klager har kommentert saken i brev av 13.2.2015.

3 Klagers anførsler

3.1 Enkeltvedtaket som er gjenstand for klagen

Klager vil påpeke at det er Datatilsynets vedtak av 28. mai 2014 som er gjenstand for prøving. Datatilsynet har ikke funnet grunn til å oppheve eller endre vedtaket etter klagen, jf forvaltningslovens § 33. Datatilsynet har da ikke adgang til å rette feil eller å gi en ny eller supplerende begrunnelse for vedtaket i et oversendelsesbrev til Personvernnemnda. Det bemerkes i denne forbindelse at det oppfattes å være noe påfallende at Datatilsynets vedtak
var på 7 sider, mens oversendelsesbrevet fra Datatilsynet til Personvernnemnda er på 12 sider.
     FaVer mener at Personvernnemnda skal vurdere vedtaket av 28. mai 2014 med den begrunnelse som ble gitt i dette, jf forvaltningsloven §§ 24 og 25.
     Det er ikke tvilsomt at et overtredelsesgebyr er å anse som straff. I PVN-2014-01 uttaler nemnda følgende:

For at en straff skal komme til anvendelse må det dokumenteres ut over enhver rimelig og fornuftig tvil at det foreligger straffbart forhold. Videre må botens størrelse stå i forhold til alvorlighetsgraden av den eller de straffbare handlingene. Del må også foretas en strafferettslig subsumering av hvert enkelt forhold under relevant lovbestemmelse som anses overtrådt, med vurdering av vedkommende overtredelses alvorlighetsgrad.

FaVer vil anføre at Datatilsynet ikke har oppfylt noen av disse kravene i det aktuelle vedtaket.

Til de enkelte punktene i oversendelsesbrevet vil klager knytte følgende kommentarer:

Til punkt 2.1 «Datatilsynets rolle og fremgangsmåte» samt punkt 3.1.2
Datatilsynet anfører at Personvernnemnda i sak PVN-2014-01 stadfester Datatilsynets lovanvendelse vedrørende personopplysningslovens bestemmelser om databehandleravtaler ­ underforstått slik at Datatilsynets lovanvendelse i denne saken har fått Personvernnemndas tilslutning. FaVer kan ikke se at dette medfører riktighet.
     Klager vil i den forbindelse påpeke at de to sakene gjelder to ulike databehandleravtaler og to ulike, ikke sammenlignbare, faktiske forhold.
     I sak PVN-2014-01 Skan-Kontroll fremgår det av Datatilsynets vedtak og endelige kontrollrapport at selskapet dels var databehandler, dels behandlingsansvarlig. Selskapet hadde imidlertid ikke et bevisst forhold til når det opptrådte i de ulike funksjonene, og dette
hadde medført hull i avtalene: Det fremgår av Datatilsynets endelige kontrollrapport punkt 3.2.1 første avsnitt at Skan-Kontroll manglet skriftlige databehandleravtaler som var inngått mellom den behandlingsansvarlige og dennes databehandler. Det fremgikk heller ikke av noen avtale at databehandleren pliktet å gjennomføre informasjonssikkerhetstiltak. Når
Personvernnemnda i vedtaket helt kort ga uttrykk for at de fremlagte databehandleravtalene
«gjennomgående er ufullstendige og utilfredsstillende», oppfatter FaVer at dette viser til at lovens spesifiserte hovedkrav ikke var oppfylt i den aktuelle saken – det var ikke inngått noen databehandleravtale. FaVer oppfatter ikke at Personvernnemnda med den korte begrunnelsen ga sin tilslutning til Datatilsynets utvidende tolkning av loven som nærmest ble gitt som et obiter dictum i vedtakets punkt 3.2.1 andre avsnitt følgende.
     I nærværende sak er faktum et helt annet, og klager viser til klagens punkt 4.2.1. Det var inngått databehandleravtaler mellom FaVer og alle de behandlingsansvarlige. FaVer kan derfor ikke se at PVN-2014-01 på dette punktet skal forstås slik Datatilsynet anfører.

Til punkt 2.1 «Om endringer i skyld graden»
Det bemerkes for ordens skyld at Datatilsynet har to punkter benevnt pkt. 2.1 i oversendelsesbrevet.
     I det endelige vedtaket har Datatilsynet i skyldvurderingen gitt uttrykk for at FaVers forhold «ikke (derved) er aktsomt». Tilsynet opprettholdt således ikke (den ubegrunnede)
skyldvurderingen fra den foreløpige rapporten – at det forelå grov uaktsomhet. At endringen i skyldgrad skjedde bevisst hos Datatilsynet, fremgår klart av sammenhengen med FaVers tilsvar til det foreløpige utkastet til vedtak – der det ble fremhevet at Datatilsynet ikke hadde drøftet om vilkårene for grov uaktsomhet var oppfylt i saken.
     Det er vedtaket av 28.5.14 som er påklaget. Dersom Datatilsynet ønsket å gjøre om sitt tidligere vedtak ved å legge til grunn en høyere skyldgrad, måtte dette vært gjort på den måten som forvaltningsloven gir anvisning på, jf forvaltningsloven kapittel VI.  Det er ikke gjort, og det er ikke anledning til å endre innholdet i vedtaket ved at det i oversendelsesbrevet til Personvernnemnda gis uttrykk for at Datatilsynet nå mener at den opprinnelige skyldvurderingen ble opprettholdt i vedtaket.
     Det noteres at Datatilsynet mener at opprettholdelsen av utmålingen av gebyret gjør det
«særlig klart» at skyldvurderingen var en annen enn begrunnelsens ordlyd tilsier. Klager vil i den forbindelse påpeke at det ikke noe sted i vedtaket, eller i varselet, er drøftet om de rettslige vilkårene for grov uaktsomhet er oppfylt. Klager er dermed uenig i Datatilsynets vurdering. Det vises i den forbindelse også til sitatet fra PVN-2014-01, nevnt innledningsvis.
     Det fremgår uttrykkelig av oversendelsesbrevet at Datatilsynet ønsker å bruke denne saken for å påvirke praksis i hele forsikringsbransjen, begrunnet i at FaVer er en stor aktør som sitter sentralt og som ofte vil være å anse som den mer profesjonelle parten som opererer med egne standardavtaler. Klager kan ikke se at denne begrunnelsen tar utgangspunkt i de faktiske forholdene i saken. Hva gjelder størrelse, vil klager påpeke at hvert av de største forsikringsselskapene har utredningsavdelinger som er vesentlig større enn FaVer. Det er
totalt cirka 70 selskapsansatte utredere i Norge. På kontrolltidspunktet hadde FaVer fire ansatte.
     Databehandleravtalen som er benyttet, er en bransjestandard som er utarbeidet av advokater i store og kompetente konsernjuridiske avdelinger i de største forsikringsselskapene. Begrunnelsen synes dermed ikke å treffe særlig godt på sakens faktum.
     Klager konstaterer at Datatilsynet ikke bestrider FaVers anførsel om at det er benyttet en ny lovforståelse, men at tilsynet anfører at denne er «fundert på en forsvarlig juridisk metode». All den tid det deretter gis uttrykk for at det ikke er tatt hensyn av mer politisk karakter, er man usikker på hva som ligger i at Datatilsynet bruker ordet «forsvarlig» i stedet for «korrekt» i relasjon til lovanvendelsen. Det skal samtidig bemerkes at gebyrets betydelige størrelse synes å ha som formål å skremme en hel bransje til å endre praksis. Dette er ikke i tråd med det utgangspunktet Personvernnemnda har presisert, nemlig at gebyrets størrelse skal «stå i forhold til alvorlighetsgraden av den eller de straffbare forholdene».

Til punkt 2.2 «Om vår rettskildebruk»
Datatilsynet beklager at det ikke ble vist til noen praksis i vedtaket. Tilsynet fremstår likevel å være av den oppfatning at FaVer selv burde funnet frem til avgjørelser som kunne tenkes å være aktuelle – eventuelt at FaVer burde tatt kontakt med Datatilsynet for å få nærmere redegjørelse for dette. Det bemerkes kort at det er Datatilsynet som fatter vedtaket og som i dette må synliggjøre at det er både faktisk og juridisk grunnlag for det vedtaket som er fattet, jf fvl §§ 24, 25 og 27. FaVer kan ikke se at et slikt faktisk og juridisk grunnlag er synliggjort i det aktuelle vedtaket.
     Det skal bemerkes at den forvaltningspraksisen som Datatilsynet formodes å vise til, i all hovedsak gjelder nye vedtak som ikke er rettskraftige, delvis også vedtak der Personvernnemnda ikke har gitt Datatilsynet medhold. Den aktuelle praksisen har dermed ingen rettskildeverdi for denne saken.

Til punkt 3.1
Tilsynet har vist til personopplysningsforskriftens § 3-1 siste ledd, der det fremgår at databehandleren skal behandle personopplysningene i samsvar med rutiner behandlingsansvarlige har oppstilt. Klager kan ikke se at tilsynet har godtgjort eller påstått at FaVer har behandlet personopplysningene i strid med slike rutiner. Tvert i mot har FaVer sørget for at det har blitt etablert slike rutiner hos enkelte behandlingsansvarlige der dette i utgangspunktet manglet. FaVer bestrider at den aktuelle forskriftsbestemmelsen skal forstås dithen at FaVer som databehandler har et straffesanksjonert ansvar for å sikre at alle de relevante rutinene enten skal være uttrykkelig beskrevet i selve databehandleravtalen, eller at databehandleravtalen uttrykkelig skal vise til rutinene.

Til punkt 3.1.3
Det tas igjen til etterretning at Datatilsynet ikke forsto at Gjensidige benyttet den databehandleravtalen som de sendte til Datatilsynet, selv om det bemerkes at Gjensidige ikke hadde lagt frem oppdragsbekreftelser, «utarbeidet i henhold til avtalens pkt. 1.2». Man har i utgangspunktet noe vanskelig for å forstå at Datatilsynet mener at Gjensidige skulle ha utarbeidet oppdragsbekreftelser i henhold til en avtale som de ikke benyttet. For ordens skyld bemerkes at Datatilsynet var godt kjent med at Gjensidige i en årrekke hadde kjøpt inn eksterne utredningstjenester. Etter Datatilsynets redegjørelse i denne sak må man konstatere at tilsynet ikke fant punktet om databehandleravtale som så sentralt at man ba om at Gjensidige oversendte den avtalen som selskapet faktisk benyttet, i stedet for standardavtalen utarbeidet av Finans Norge/forsikringsbransjen.
     I relasjon til Datatilsynets veiledende oppgave fremstår det som enda mer påfallende at
Datatilsynet ikke tok kontakt med Finans Norge dersom avtalen, som hadde betegnelsen
«Rammeavtale mellom FNO og Oppdragstaker - konsulentoppdrag vedrørende utredning», ble vurdert å være i strid med loven. Hadde Datatilsynet tatt kontakt med Finans Norge og bedt om at det ble gjort endringer i standardavtalen, ville dette blitt gjort. Datatilsynets formulerte mål ville da blitt oppnådd. Man konstaterer at Datatilsynet ikke har gitt noen begrunnelse for hvorfor en slik fremgangsmåte ikke ble valgt.

Til punkt 3.1.4
Det presiseres at FaVer før det uvarslede tilsynet hadde utarbeidet egne tiltak og rutiner som var tilgjengelig for den behandlingsansvarlige. Det sentrale spørsmålet i denne saken er om FaVer skal straffes fordi den inngåtte databehandleravtalen, som FaVer har forholdt seg lojal til, ikke uttrykkelig viste til disse tiltakene/rutinene.

Til punkt 3.2
Det er noe uklart hva Datatilsynet sikter til når det angis at det i kontrollrapporten og vedtaket er drøftet og konkludert med at det forelå store mangler i rutinene. Det aktuelle er drøftet i kontrollrapportens punkt 5.2.2 og 5.3.
     Det skal presiseres at FaVers rutiner var utarbeidet før Datatilsynets uvarslede tilsyn, og det pågikk et arbeid for å bekjentgjøre dette for alle behandlingsansvarlige. De interne rutinene var tilgjengelige for alle som ønsket innsyn i disse.
     Når det gjelder Datatilsynets anførsler om at FaVer har stått fritt til å frembringe ny dokumentasjon i etterkant av vedtaket, vil klager fremheve at det er Datatilsynet som plikter å bevise ut over enhver rimelig tvil at det foreligger en overtredelse av loven. At Datatilsynet fremsetter påstander, er ikke egnet til å oppfylle dette beviskravet. Det er ikke slik at det er FaVer som må motbevise Datatilsynets påstand om at skyld foreligger.

Til punkt 4
Det tas til etterretning at Datatilsynet har endret sitt vedtak på dette punktet. På tidspunktet for det uvarslede tilsynet benyttet klager Advisor på en måte som klager mente tilfredsstilte de kravene til segmentering som man oppfatter at Personvernnemnda senere har pekt på. Slik FaVer i dag benytter Advisor, forekommer det imidlertid ikke personopplysninger i noen søkbare felt.
     Dette vil være mer enn tilstrekkelig til å tilfredsstille Datatilsynets nye vedtak, selv om man legger den strengest mulige fortolkningen til grunn. FaVer har således per i dag ikke mulighet til å søke etter personopplysninger på tvers i systemet – heller ikke dersom politiet skulle ønske dette.
     Det presiseres at FaVer er prinsipielt uenige i den lovforståelsen Datatilsynet gir uttrykk for. Det er samfunnsmessig uheldig at etterlevelsen av Datatilsynets retningslinjer vil medføre så høye datautviklingskostnader at det ikke er praktisk mulig for et så lite firma som FaVer å få en datateknisk løsning som både vil kunne oppfylle Datatilsynets krav og samtidig vil muliggjøre bistand til politiet dersom man får anmodning om dette.
     Selv om dette punktet nå bortfaller, ser man gjerne at Personvernnemnda gir uttrykk for sine synspunkter på Datatilsynets anførsel om at økonomiske forhold – som altså består i at det må utvikles programvare som per i dag ikke finnes på markedet – ikke danner noen skranke for hva som kan pålegges databehandlerne.

Til punkt 5
Det fastholdes generelt (til alle underpunkter) at begrunnelsen for å ilegge gebyr er så mangelfull at vedtaket må anses ugyldig. Manglene kan ikke rettes ved at det gis tilleggsuttalelser i oversendelsesbrevet til Personvernnemnda. Kriteriene som oppstilles i PVN-2014-01 er ikke oppfylt.

Til punkt 5.2
Klager mener Datatilsynet ikke har dekning for sine påstander. Det er et faktum at det i hver enkelt utredningsanmodning forelå skriftlig avtale om at FaVer skulle utrede saken. I
rammeavtalene er det angitt at FaVer skal følge den behandlingsansvarliges oppgjørspolicy. I tillegg var det utarbeidet egne interne rutiner i FaVer, og disse var tilgjengelige for alle behandlingsansvarlige. Det er da svært vanskelig å forstå at Datatilsynet fremdeles påstår at sakene er behandlet på en annen måte enn det som var skriftlig avtalt. Slik FaVer ser saken, gjelder spørsmålet mer formalia – om det oppstår et lovbrudd som skal straffesanksjoneres fordi det rent faktisk forelå et avtalekompleks med flere avtaler, ikke bare en samleavtale (eventuelt en hovedavtale som uttrykkelig viser til de øvrige avtalene), slik Datatilsynet nå krever.

Til punkt 5.3
Klager reagerer sterkt på Datatilsynets språkbruk. Som det er fremhevet i klagers kommentarer til punkt 5.2, er det primært tale om en diskusjon knyttet til formalia, ikke innhold. Når Datatilsynet gir uttrykk for at det foreligger «omfattende og systematiske» mangler, «idet de gjør seg gjeldende i alle selskapets databehandlerrelasjoner», er den underliggende realitet kun at FaVer har benyttet bransjens standardavtale i alle sine kunderelasjoner. Det er således, om Datatilsynets lovfortolkning er korrekt, en repeterende feil – ikke «systematiske mangler».
     Det er heller ikke noe saklig grunnlag for å påstå at den unnlatte krysshenvisningen i databehandleravtalen skal ha medført en «uakseptabel risiko for at lovens øvrige bestemmelser brytes, på en slik måte at den enkeltes rettigheter krenkes».

Til punkt 5.4
I oversendelsesbrevet er det skrevet:

FaVer anfører at selskapet har forholdt seg til en gjeldende norm i bransjen. Vi kan imidlertid ikke se det sannsynliggjort at det foreligger en slik norm, utover den som selskapet eventuell selv har etablert.

Det aktuelle utsagnet er egnet til å forundre. For det første vet man at Datatilsynet sitter med positiv kunnskap om bransjens standard databehandleravtale som ble fremlagt i Gjensidige-saken. Denne er i praksis den samme som FaVer har benyttet, og som har vært benyttet som standardavtale av alle forsikringsselskaper i en årrekke, og i hvert fall i mer enn 10 år. Lenge før FaVer ble etablert, ble avtalen benyttet i forhold til et stort nettverk av eksterne konsulenter/pensjonerte politimenn. Alle disse har i alle år benyttet den samme avtalen som FaVer tok i bruk høsten 2011.
     Som klager har kommentert ovenfor, har Datatilsynet i pkt. 2.1 uttalt at formålet med tilsynssaken mot FaVer var å endre praksis hos alle FaVers kunder. Det er vanskelig å forstå dette formålet annerledes enn at Datatilsynet var kjent med at en tilsvarende avtale ble benyttet som standardavtale av hele forsikringsbransjen.
     Det er tale om å ilegge straff, og Datatilsynet kan da uansett ikke unnlate å gjøre undersøkelser for å bringe på det rene om FaVer har fulgt bransjepraksis.
     Datatilsynet bemerker også her at det fort vil være FaVer som er den mest profesjonelle parten i forhold til oppdragsgiverne. Som klager påpekte i relasjon til punkt 2.1, kan klager ikke se at dette er korrekt når det tas i betraktning at det er store og profesjonelle forsikringsselskaper som utgjør hovedtyngden av FaVers kundemasse.
     Datatilsynet gir avslutningsvis uttrykk for at FaVer «har behandlet store mengder personopplysninger, også av sensitiv karakter, uten å inneha nødvendige
databehandleravtaler med sine oppdragsgivere». Igjen stiller klager seg undrende til Datatilsynets språkbruk. Klager vil fremheve at det forelå skriftlig databehandleravtale med samtlige behandlingsansvarlige. Det forelå i alle tilfeller avtale om at FaVer skulle håndtere sakene i tråd med policy hos den behandlingsansvarlige. Det forelå interne rutiner hos FaVer som kundene, på tidspunktet for tilsynet, dels hadde godtatt uttrykkelig, dels hadde akseptert ved at de ikke hadde hatt innvendinger og dels var de i ferd med å bli sendt til godkjennelse.
Rutinene var tilgjengelige for gjennomgang av de behandlingsansvarlige.
     Datatilsynet oppsummerer det aktuelle med at FaVer har opptrådt «grovt uaktsomt». Det påpekes at Datatilsynet ikke har drøftet sakens reelle forhold opp mot de rettslige kriteriene som må være oppfylt for at denne karakteristikken skal kunne anvendes.

Datatilsynets formulering synliggjør at det har bygget gebyret på feil faktisk og rettslig grunnlag.

4 Datatilsynets vurdering

4.1 Om Datatilsynets rolle

I klagen skriver selskapet at det «oppfatter at Datatilsynet i denne saken ikke skiller på en klar måte mellom Datatilsynets ulike roller». Selskapet «Opplever at Datatilsynet i denne saken har sitt hovedfokus på rollen som politisk pådriver for personvernspørsmål, der
Datatilsynet synes å mene at loven ikke går tilstrekkelig langt i sitt vern, og der denne enkeltsaken forsøkes benyttet for å utvide lovens virkeområde». Selskapet er også kritisk til at tilsynet innretter kontrollvirksomheten mot «en liten aktør», og mener at dets siktemål er «å skremme» alle de behandlingsansvarlige til å endre praksis, slik at tilsynets «nye fortolkning får gjennomslag».
     Tilsynet leser dette slik at FaVer mener at tilsynet bevisst har lagt til grunn en uriktig forståelse av personopplysningslovens bestemmelser når tilsynet har utøvet myndighet i denne saken. Tilsynet mener i midlertid at dets lovanvendelse er fundert på en forsvarlig juridisk metode, hvor det ikke er tatt utenforliggende hensyn – heller ikke av mer politisk karakter. Allerede her er det grunn til å peke på at tilsynets lovanvendelse vedrørende personopplysningslovens bestemmelser om databehandleravtaler nå er stadfestet av Personvernnemnda i sak PVN-2014-01.
     Tilsynet vil videre bemerke at det er helt legitimt for tilsynet å innrette dets kontrollvirksomhet mot databehandlere. Det vises til at databehandlere har klare selvstendige plikter etter personopplysningsloven, og at tilsynet har klare hjemler til både å kontrollere og fatte vedtak mot dem. Det vises også til at databehandlere ofte er å anse som den mer profesjonelle parten i forholdet til den behandlingsansvarlige. De opptrer gjerne som spesialister på den aktuelle behandlingen, og de opererer ofte med egne standardavtaler for sine tjenester. I praksis har de stor mulighet til å påvirke hvordan behandlingen rent faktisk skjer, hvilket tilsier at de kan og bør holdes ansvarlige når loven gir adgang til det. Det må også være legitimt for tilsynet å ta prosessøkonomiske hensyn, og gjennomføre kontroller hvor de potensielt får betydning for etterlevelse i mange virksomheter. Dette innebærer imidlertid ikke at tilsynet kjører denne saken som en «pilotsak», slik selskapet hevder.
     Dersom en databehandler etablerer gode avtaler med sine kunder, vil dette ha som direkte konsekvens at etterlevelsen derved bedres hos alle dennes kunder. Og det er dette tilsynet søker å oppnå.
     Tilsynet gjennomførte den aktuelle kontrollen for å se nærmere på forsikringsbransjens bruk av databehandlere i forbindelse med utredningsvirksomhet. Bakgrunnen for at tilsynet valgte nettopp dette selskapet var at tilsynet, i sitt pågående arbeid med forsikringsbransjen, ble gjort kjent med at FaVer er en stor leverandør innen dette tjenestesegmentet. Med 20 forsikringsselskaper i sin kundeportefølje kan selskapet vanskelig høres med at det er «en liten aktør» i det aktuelle markedet.
     Når det gjelder forholdet til de behandlingsansvarlige vil tilsynet for øvrig bemerke at disse er parter i den aktuelle kontrollsaken, jf forvaltningslovens § 2 bokstav e «den som saken ellers direkte gjelder». Det må være åpenbart at tilsynet har en plikt til å informere dem om saken, i tråd med forvaltningslovens bestemmelser og av hensyn til god forvaltningsskikk. Noen plikt til å følge opp saken ytterligere overfor den enkelte, for eksempel med enkeltvedtak, har tilsynet imidlertid ikke.

4.2 Om endringer i skyldgraden

Selskapet reagerer på at tilsynet ikke har endret sin konklusjon fra varsel om vedtak til vedtak, idet det selskapet mener at det har skjedd «en vesentlig endring i skyldgrad». Selskapet viser til tilsynets vurdering av om en etablert praksis og norm i bransjen har betydning for skyldspørsmålet, i vedtakets punkt 4.
     Tilsynets konklusjon om at selskapet «ikke (derved) har opptrådt aktsomt», kan ikke ses som en konklusjon om at det kun foreligger simpel uaktsomhet. Det må i stedet forstås slik at tilsynets opprinnelige konklusjon fra varselet fremdeles står seg. Dette blir særlig klart når tilsynet nettopp ikke gjorde endringer i utmålingen i det endelige vedtaket.

4.3 Om Datatilsynets rettskildebruk

Selskapet reagerer på tilsynets rettskildebruk, idet tilsynet viser til egen forvaltningspraksis uten å konkretisere hvilke avgjørelser det dreier seg om.
Tilsynet beklager at det ikke henviste til konkrete saker i vedtaket. Det er likevel grunn til å nevne at selskapet i ettertid heller ikke har bedt om en nærmere konkretisering, selv ikke i forbindelse med utarbeidelse av den klagen som nå ligger til behandling. Det må antas at selskapet er vel kjent med at de relevante dokumentene er offentlig tilgjengelige, og kan leveres ut på forespørsel.

4.4 Hvorvidt det foreligger brudd på personopplysningslovens bestemmelser om databehandleravtaler

Selskapet anfører at det ikke foreligger brudd på personopplysningslovens bestemmelser om databehandleravtaler. Selskapet mener at tilsynets lovanvendelse er uriktig, og at selskapet uansett hadde etablert slike rutiner som tilsynet krever.

4.4.1 Om Datatilsynets lovanvendelse
Datatilsynet har lagt følgende lovanvendelse til grunn for vedtaket:

Det følger av personopplysningslovens § 15 at en databehandler ikke kan behandle personopplysninger på annen måte enn det er skriftlig avtalt med den behandlingsansvarlige. Bestemmelsen må leses som en plikt for databehandlere til å inngå databehandleravtaler, og å forholde seg lojalt til det som der er avtalt.

Personopplysningslovens § 15 inneholder enkelte eksplisitte krav til databehandleravtalen: den må være skriftlig, og den må være inngått mellom den behandlingsansvarlige og dennes databehandler. Av avtalen må det også gå klart frem at databehandleren plikter å gjennomføre informasjonssikkerhetstiltak (annet ledd).

I tillegg kan det utledes mer implisitte krav av loven og forskriften, sammenholdt med det hensynet som begrunner plikten til å inngå slike avtaler: at den behandlingsansvarlige skal ha kontroll med at personopplysninger behandles i tråd med personopplysningslovens bestemmelser.

Da lovens § 15 oppstiller et forbud for databehandleren mot å behandle opplysningene på annen måte enn det som er skriftlig avtalt, legger vi til grunn at selve behandlingsmåten må beskrives i avtalen (eller i vedlegg til denne).

Det vises også til personopplysningsforskriftens § 3-1 siste ledd, som pålegger databehandleren å behandle opplysningene i tråd med de rutiner den behandlingsansvarlige har oppstilt i medhold av bestemmelsens tredje ledd. Dette må forstås slik at alle relevante rutiner skal beskrives i avtalen, eller i medhold av denne.

4.4.2 Lovens ordlyd
Tilsynet mener at dette er krav som følger av ordlyden i § 15, hvoretter opplysningene ikke kan behandles «på annen måte enn det som er skriftlig avtalt». Det vises også til personopplysningsforskriftens § 3-1 siste ledd som pålegger databehandleren å behandle opplysningene i tråd med «rutiner som den behandlingsansvarlige har fastsatt».
     Selskapet viser i klagen til at § 13 ikke inneholder et slikt krav. Det er litt uklart for tilsynet hvorfor § 13 anses å være relevant her. Bestemmelsen gjelder informasjonssikkerhet, ikke internkontroll. Tilsynet vil videre peke på at § 13, i motsetning til § 14, pålegger databehandleren selvstendig plikt til å sørge for tilfredsstillende informasjonssikkerhet. Det påhviler altså databehandleren å utarbeide sine egne tiltak og rutiner for å ivareta lovens krav til informasjonssikkerhet. Disse skal være tilgjengelig for den behandlingsansvarlige, som derved kan gjøre sine vurderinger av om tiltakene er tilfredsstillende utfra dennes sikkerhetsmål.
     Databehandleren har imidlertid ingen selvstendig plikt til internkontroll for ivaretakelse av lovens øvrige krav, jf § 14. Her skal databehandleren i stedet forholde seg til rutiner som er utarbeidet av den behandlingsansvarlige, eller som er klart akseptert av denne, jf personopplysningslovens § 15.

4.4.3 Personvernnemndas praksis
Datatilsynets lovanvendelse har vært til behandling i Personvernnemnda, i sak PVN-2014-01 Skan­Kontroll. Det er en sak som har mange likhetstrekk med foreliggende sak. Begge gjelder tilsynets kontroll av en databehandler, hvor det er et sentralt spørsmål om det er inngått databehandleravtaler i tråd med personopplysningslovens § 15.
     Personvernnemnda uttaler i vedtaket at den «gir sin tilslutning til Datatilsynets vedtak». Dette må forstås slik at nemnda også slutter seg til den lovanvendelsen som ligger til grunn for vedtaket, og som er sammenfallende med den lovanvendelsen som ligger til grunn for tilsynets vedtak i denne saken.

4.4.4 Tilsynets tidligere vurderinger av samme avtale
Selskapet viser til at tilsynet har fått fremlagt den aktuelle avtalen tidligere, «uten å reagere på den». Selskapet mener at dette har sin forklaring i at tilsynet «etter en rask gjennomgang av avtalen vurderte at denne tilfredsstilte lovens krav».
     Dette medfører ikke riktighet. Avtalen ble lagt frem av Gjensidige i forbindelse med tilsynets kontroll. I tilsynets endelige kontrollrapport skrev tilsynet følgende om denne:

Etter kontrollen fikk Datatilsynet oversendt «Rammeavtale mellom FNO og Oppdragstaker ­
konsulentoppdrag vedrørende utredning».

Datatilsynet kan ikke se at den fremlagte avtalen alene tilfredsstiller personopplysningslovens
§ 15 om databehandleravtale.

Det vises til at den behandlingsansvarlige (Gjensidige) ikke er angitt å være part i avtalen.
Det ble heller ikke fremlagt noen avtale mellom FNO og Gjensidige, som enten gir Gjensidige partsrettigheter eller som gir FNO adgang til å handle på Gjensidiges vegne.

Endelig skal det bemerkes at Gjensidige ikke har lagt frem oppdragsbeskrivelser, utarbeidet i henhold til avtalens pkt 1.2. En oppdragsbeskrivelse antas utgjøre en vesentlig del av avtalen i det enkelte tilfellet, idet den skal angi de nærmere rammene for behandlingen, både mht metoder og omfang (jf også avtalens punkt 4.2).

(Datatilsynets understrekning)

Basert på ovennevnte konkluderte tilsynet med følgende:

Manglende databehandleravtaler med eksterne utredere innebærer et brudd på personopplysningsloven § 15. Dette har som konsekvens at Gjensidige mangler kontroll med den behandling av personopplysninger som disse utrederne gjennomfører på virksomhetens vegne.

Tilsynet fant det ikke sannsynliggjort at selskapet faktisk benyttet avtalen i forbindelse med sine oppdrag. Det var derved ikke aktuelt å pålegge selskapet å gjøre endringer i denne.

4.4.5 Datatilsynets mal og veileder
Selskapet viser også til Datatilsynets veiledning og mal, som blant annet er publisert på tilsynets nettsider. Det vises særlig til malens punkt 3 og 5.
     Tilsynet fastholder at det fremgår eksplisitt både av veiledningen og malen, at denne angir en minimumsstandard, og at det nærmere innholdet må tilpasses oppdragets art og omfang.
     Tilsynet vil vise til malens punkt 3 hvor det presiseres at «Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde». Det forutsettes etter tilsynets oppfatning helt klart at det må utarbeides rutiner for behandlingen, og at det er den behandlingsansvarlige som skal fastsette disse eller klart akseptere dem, dersom de er utarbeidet av databehandleren.
     Endelig vil tilsynet peke på at punkt 5 i avtalen gjelder informasjonssikkerhet. Som nevnt over har databehandleren selvstendig ansvar for tilfredsstillende informasjonssikkerhet, jf personopplysningslovens § 13. Det betyr at databehandleren skal utarbeide egne tiltak og rutiner, og la disse være tilgjengelig for den behandlingsansvarlige.

4.4.6 Konklusjon
Tilsynet fastholder etter dette at personopplysningslovens § 15 pålegger en databehandler å inngå databehandleravtaler med sine oppdragsgivere, og forholde seg lojalt til denne. Tilsynet fastholder også at selve behandlingsmåten og rutinene må avtales skriftlig, enten i selve avtalen, i et eget dokument som ligger ved avtalen eller som denne viser til, jf også personopplysningsforskriften § 3-1. Det må forventes at avtalene gjør det mulig for partene og for tilsynsmyndigheten å vurdere om behandlingen gjennomføres som avtalt eller om det har skjedd behandlinger i strid med behandlingsforbudet i personopplysningsloven§ 15.

4.5 Om det var etablert slike databehandleravtaler som loven krever

Det springende punktet i denne saken er om det var inngått databehandleravtaler i tråd med kravene i personopplysningsloven § 15, jf forskriftens § 3-1, på kontrolltidspunktet.
     FaVer hevder i klagen at flere av oppdragsgiverne faktisk hadde akseptert selskapets rutiner, og at det derved forelå databehandleravtaler i tråd med lovens vilkår. Det er imidlertid ikke dokumentert for Datatilsynet. Tilsynet vil her bemerke at selskapet har hatt god anledning til å dokumentere dette i tiden etter kontrollen, for eksempel ved å be om de behandlingsansvarliges bekreftelse på at de allerede hadde akseptert selskapets rutiner som en del av databehandleravtalen. Ettersom selskapet er pålagt å betale et overtredelsesgebyr, må det antas å ha betydelig interesse i å dokumentere at loven er fulgt.
     Uavhengig av om rutinene var akseptert av oppdragsgiverne eller ikke, må det uansett vurderes om disse var egnet til å sikre at personopplysningsloven ble fulgt ved behandlingen. Dette er vurdert i kontrollrapporten og vedtaket, hvor tilsynet konkluderer med at det foreligger store mangler.  Det fremkommer ikke opplysninger om de faktiske forhold i klagen, som gjør endringer på dette punktet. Tilsynet kan heller ikke se at faktum på dette punktet er bestridt, altså at det foreligger uenighet mellom selskapet og tilsynet om hvilke dokumenter som skulle vurderes opp mot lovens krav.
     For en nærmere gjennomgang av om lovens vilkår er oppfylt, vises det til kontrollrapport og vedtak. Tilsynet kan ikke se at det fremkommer opplysninger i klagen som medfører endringer i det som fremkommer der, og fastholder at det ikke var inngått databehandleravtaler i tråd med vilkårene i personopplysningslovens § 15, jf forskriftens § 3-1.

4.6 Informasjonssikkerhet og segmentering

Vedtakets punkt 4 av 28. mai 2014 lød:

FaVer AS må etablere en løsning for segmentering av personopplysninger fra ulike behandlingsansvarlige, jf personopplysningsloven § 13, jf personopplysningsforskriften §§ 2-11 og 2-14. Det vises til kontrollrapportens punkt 5.4.5.

FaVer har påklaget på vedtaket. Selskapet anfører at Datatilsynet har valgt en for streng tolkning av hva som innebærer tilfredsstillende informasjonssikkerhet, og at krav om segmentering ikke står i forhold til sannsynligheten og konsekvensen av et sikkerhetsbrudd, jf personopplysningsforskriften § 2-1 andre ledd. FaVer mener Datatilsynet har basert sine vurderinger på at opplysningene i Advisor er et svikregister og dermed inneholder mistanke om straffbare forhold. Et stort antall saker i Advisor inneholder ikke opplysninger om svik.
     FaVer bestrider også Datatilsynets krav om at det skal være tekniske sperrer for å forhindre samtidig søk i personopplysninger med ulike behandlingsansvarlige. FaVer begrunner dette i at det ikke er grunnlag i lovverket for å kreve en slik sperre og fordi en slik løsning vil ha store økonomiske kostnader.
     Tilsynet bestrider ikke at det i FaVers Advisor-system finnes opplysninger som ikke er personopplysninger, samt personopplysninger som ikke er sensitive eller av annen grunn særlig beskyttelsesverdige. Dette er ikke avgjørende, så lenge Advisor også inneholder personopplysninger med sterkt behov for konfidensialitetsbeskyttelse. At dette er tilfelle så tilsynet under den stedlige kontrollen, da det ble foretatt innsyn i flere saker som inneholdt opplysninger om mulig forsikringssvindel.
     Tilsynet har ikke grunnlag for å vurdere hvor stor andel av datamengden i Advisor som er beskyttelsesverdig, men dette er heller ikke relevant. Det avgjørende er å sikre beskyttelse av de beskyttelsesverdige personopplysningene, typisk de sakene som inneholder mistanke om kriminelle forhold. Dersom FaVer ønsker å basere sitt sikkerhetsbehov på de minst beskyttelsesverdige opplysningene, er det nødvendig å skille ut de beskyttelsesverdige opplysningene slik at de kan underlegges en annen og bedre nødvendig beskyttelse.
     At det kan være kostbart å etablere nødvendige sikkerhetstiltak er det ikke tvil om. Det avgjørende for å fastsette et tilfredsstillende sikkerhetsnivå er likevel risikoen forbundet med behandlingen av personopplysninger, ikke økonomi. Datatilsynet har derfor ikke lagt avgjørende vekt på dette i sine vurderinger.
     Kravet om segmentering er behandlet av Personvernnemnda sak PVN-2014-01 Skan­ Kontroll. Saken gjelder en annen databehandler, som etter tilsynets oppfatning ikke hadde etablert tilfredsstillende mekanismer for å skille personopplysninger fra ulike behandlingsansvarlige. I denne saken kom nemnda til at å stille krav om segmentering, i betydningen adskilte databaser eller fysisk adskilte enheter, innebar at man går for langt i å foreskrive en konkret teknisk løsning. Nemda er derimot ikke kritisk til at det stilles krav om teknisk adskillelse av opplysninger.
     Datatilsynet vil derfor endre sitt vedtak i denne saken til det følgende:

FaVer AS må etablere tiltak for å sikre at opplysninger som er samlet inn fra en behandlingsansvarlig for et formål, ikke blandes med opplysninger fra en annen behandlingsansvarlig for et annet formål, jf personopplysningsloven § 13, jf personopplysningsforskriften § 2-11 og § 2-14.

Den endrede ordlyden i vedtaket er ikke forelagt selskapet, før oversendelse til Personvernnemnda. Tilsynet vurderer at dette heller ikke er nødvendig, fordi endringen ikke kan sies å være til ugunst for klager.
     I sak PVN 2014-01 drøfter Personvernnemnda også muligheten for å gjøre søk på personopplysninger på tvers av opplysninger med ulike behandlingsansvarlige. I saken kommer nemnda til at det kan tenkes tilfeller der søk i en databehandlers totale datasett kan være nødvendig. Det eksempelet nemnda trekker fram er ved henvendelser fra politiet.
     En konsekvens av det endrede vedtak er at det kan være teknisk mulig til å gjøre søk i hele datamaterialet. Tilsynet vil imidlertid understreke at slike søk kun skal skje dersom det foreligger et behandlingsgrunnlag for FaVer, jf personopplysningsloven§ 11, jf §§ 8 og 9, eller dersom politiet har behov for det. Det er naturlig å etablere tiltak for å begrense mulighetene for søk på tvers, f.eks. spesielle autorisasjon, rutiner for søk og opplæring av medarbeiderne som skal gjøre slike søk.

4.7 Om ileggelse av overtredelsesgebyr

4.7.1 Om Datatilsynets begrunnelse
Selskapet mener at tilsynets begrunnelse for å ilegge gebyr er mangelfull, idet tilsynet ikke har gått systematisk igjennom alle punktene i § 46 annet ledd bokstav a til h. Selskapet viser i den forbindelse til Personvernnemndas uttalelser i PVN-2011-01.
     Tilsynet forstår personopplysningsloven § 46 slik at den lister opp hvilke momenter som er gyldige ved ileggelse av overtredelsesgebyr. De momentene som er angitt i bokstav c – g er, i motsetning til de øvrige momentene, ikke nødvendigvis relevante i hver enkelt sak. Det må bero på sakens faktum. For eksempel vil momentet om gjentakelse i bokstav f bare være relevant i de tilfellene hvor det faktisk foreligger gjentakelse.
     Tilsynet savner for øvrig selskapets vurderinger av hvordan det kunne eller burde ha påvirket tilsynets konklusjon i denne saken, dersom tilsynet uttrykkelig hadde gått gjennom alle disse vilkårene. Selskapet har heller ikke påberopt faktiske forhold som kan anføres under disse momentene. Da alle relevante momenter er tatt med i tilsynets begrunnelse, foreligger det ingen saksbehandlingsfeil.

4.7.2 Nærmere om hvorvidt det foreligger brudd på personopplysningslovens bestemmelser
For at tilsynet skal kunne ilegge overtredelsesgebyr i medhold av personopplysningsloven § 46 må det foreligge «klar sannsynlighetsovervekt» for at de subjektive og de objektive vilkårene i bestemmelsen er oppfylt. Det vises her til fast og langvarig høyesterettspraksis (for eksempel Rt 2012 s 1556 med videre henvisninger).
     Beskrivelsene av de relevante faktiske forhold i kontrollrapporten er ikke omstridt, jf ovenfor. Det er altså ikke tvil om hvilke dokumenter som skal ligge til grunn for tilsynets vurderinger, eller hvilke behandlinger selskapet faktisk har gjennomført.
     Tilsynet fastholder derfor at det foreligger klar sannsynlighetsovervekt for at FaVer, i egenskap av å være databehandler, har behandlet personopplysninger «på annen måte enn det som er skriftlig avtalt» med de behandlingsansvarlige. Som det fremgår av kontrollrapport og vedtak i saken foreligger det store mangler ved fremlagte avtaledokumenter, sett opp mot personopplysningslovens krav til databehandleravtaler. Som en følge av dette har selskapet gjennomført behandlinger som ikke er tilfredsstillende regulert eller forankret i databehandleravtaler med de behandlingsansvarlige. Dette innebærer et klart brudd på personopplysningsloven § 15.

4.7.3 Lovbruddets alvorlighetsgrad
Tilsynet fastholder at manglene utgjør et alvorlig lovbrudd, jf § 46 bokstav a. Generelt kan det vises det til at databehandleravtaler er nødvendige tiltak for å sikre at personopplysningsloven operasjonaliseres i databehandlerens virksomhet. Uten tilfredsstillende databehandleravtaler oppstår en uakseptabel risiko for at lovens øvrige bestemmelser brytes, på en slik måte at den enkeltes rettigheter krenkes, uten at dette enkelt avdekkes av virksomheten selv, den registrerte eller tilsynsmyndigheten.
     Slik tilsynet ser det er det ikke nødvendig å dokumentere at manglende internkontroll og mangelfulle databehandleravtaler faktisk har medført brudd på lovens øvrige bestemmelser. Det vises her til at manglene nettopp har som konsekvens at det også er vanskelig å avdekke slike lovbrudd. I den utstrekning det kan dokumenteres slike lovbrudd vil det bli å anse som skjerpende.
     I forlengelsen av dette vises det til at brudd på lovens bestemmelser om databehahandleravtaler er blant de som også er belagt med straff i medhold av personopplysningsloven § 48, jf dennes første ledd bokstav b.
     I denne konkrete saken er det avdekket betydelige avvik mellom lovens krav og den fremlagte dokumentasjonen, jf kontrollrapport om dette. Manglene er omfattende og systematiske, idet de gjør seg gjeldende i alle selskapets databehandlerrelasjoner. 

4.7.4 Skyld
Tilsynet har lagt til grunn at selskapet handlet grovt uaktsomt, jf § 46 bokstav b. Selskapet mener imidlertid at det har opptrådt i tråd med fast praksis og en etablert norm i forsikringsbransjen, og at det må få betydning ved vurderingen av skyldgraden.
     Innledningsvis vil tilsynet bemerke at personopplysningsloven § 46 i utgangspunktet etablerer et objektivt ansvar for den behandlingsansvarlige. Det er bare i de tilfeller hvor «overtredelsen skyldes forhold utenfor den behandlingsansvarlige kontroll» at det ikke er adgang til å ilegge slikt gebyr. Bestemmelsen gir imidlertid anvisning på en helhetsvurdering, hvor også graden av skyld naturligvis skal tillegges vekt, jf bestemmelsens annet ledd bokstav b.
     FaVer anfører at selskapet har forholdt seg til en gjeldende norm i bransjen. Tilsynet kan imidlertid ikke se det sannsynliggjort at det foreligger en slik norm, utover den som selskapet eventuelt selv har etablert. Det vises til at FaVer har avtaler med de fleste av landets store forsikringsselskaper, og derved selv representerer en stor del av bransjen. Selskapet har ikke opplyst om hvilke andre aktører som opererer i tilsvarende bransje, og hvilken norm disse eventuelt følger. Uansett vil en slik norm ha begrenset betydning for Datatilsynets vurdering. Utgangspunktet er at enhver har en selvstendig plikt til å følge loven, uavhengig av om også andre pliktsubjekter følger den eller ikke.
     Tilsynet fastholder at selskapets praksis representerer «et markert avvik» fra vanlig forsvarlig handlemåte. Det er lagt vekt på at personopplysningslovens bestemmelser om databehandleravtaler er helt sentrale og grunnleggende for enhver databehandlers virksomhet. Databehandleravtalen utgjør databehandlerens rettslige grunnlag, og angir måten denne skal gjennomføre behandlingen på.
     Det legges også vekt på at behandlingen som FaVer tilbyr forsikringsbransjen etter omstendighetene omfatter sensitive personopplysninger, og at resultatet av behandlingen kan få store konsekvenser for den enkelte. Dette skjerper kravet til aktsomhet hos databehandleren.
     Det er endelig lagt vekt på at selskapet leverer sine tjenester til en stor del av forsikringsbransjen, og at selskapet i denne forbindelse fort vil være å anse som den mer profesjonelle parten i forholdet til oppdragsgiverne.
     Når det gjelder betydningen av Datatilsynets mal og veileder, viser tilsynet til det som er skrevet i vedtaket.
     Tilsynet fastholder at selskapet har opptrådt grovt uaktsomt, idet det behandlet store mengder personopplysninger, også av sensitiv karakter, uten å inneha nødvendige databehandleravtaler med sine oppdragsgivere.

4.7.5 Samlet vurdering og utmåling av gebyrets størrelse
Det foreligger klar sannsynlighetsovervekt for at FaVer har overtrådt personopplysningsloven § 15. Lovbruddet må anses å være alvorlig. Manglene er systematiske og omfattende, idet de vedrører den behandlingen som skjer på vegne av selskapets 20 oppdragsgivere. Selskapet er sterkt å klandre for ikke å ha sørget for at avtalene var tilfredsstillende, hvilket tilsier at det bør ilegges et betydelig overtredelsesgebyr.
     Ved utmålingen er det også sett hen til at selskapet har god økonomisk bæreevne, med et resultat før skatt på kroner 1 258 000 i 2012, jf personopplysningsloven § 46 bokstav h. I klagen hevder selskapet at tilsynet ikke viser hvilken betydning bæreevnen har fått for utmålingen av gebyrets størrelse, altså om den trekker i skjerpende eller formildende retning. Selskapet mener at overtredelsesgebyret er satt for høyt, idet det utgjør nesten 12 prosent av selskapets årsresultat. Det viser til Gjensidigesaken, hvor gebyret utgjorde 0,01 prosent av selskapets årsresultat.
     Som det også fremgår av vedtaket har tilsynet lagt til grunn at dette med økonomisk bæreevne har underordnet betydning, sett i forhold til overtredelsens alvorlighetsgrad og selskapets skyld. Tilsynet vil bemerke at det i praksis er svært vanskelig å fastsette et gebyr som i alle tilfeller står i forhold til overtrederens økonomiske bæreevne. Dette gjelder særlig fordi det er satt en øvre beløpsgrense. Dersom vi skal utmåle et gebyr som står i tilsvarende forhold til andre overtrederes økonomiske bæreevne som i Gjensidigesaken, ville gebyrene i mange tilfelle bli symbolske. I praksis har vi derfor lagt størst vekt på at gebyret må stå i et rimelig forhold til overtredelsens art og omfang og overtrederens skyld, og at beløpet justeres opp eller ned dersom overtrederens økonomi er særlig sterk eller svak. Det er ikke tilfellet her.
     Ved utmålingen er det endelig sett hen til tilsynets etablerte praksis ved utmåling av overtredelsesgebyr. Når det gjelder utmåling av overtredelsesgebyr til databehandlere, for manglende databehandleravtaler, vil tilsynet nevne følgende saker: Skan-Kontroll AS ble ilagt kr 600 000 i overtredelsesgebyr. Gebyret knyttet seg i det vesentlige til lovbrudd ved behandlinger som selskapet må svare for som behandlingsansvarlig, men også til manglende
databehandleravtaler. Securitas ble ilagt et overtredelsesgebyr på kr 150 000 for manglende
databehandleravtaler, og Pixima ble ilagt et overtredelsesgebyr på kr 75 000 for tilsvarende forhold. Det kan også nevnes at tilsynet har varslet overtredelsesgebyr til databehandlere i ytterligere to saker, som knytter seg til mangler ved databehandleravtalene. I begge sakene er det varslede gebyret satt til kr 250 000.

4.8 Avsluttende merknader

Tilsynet finner ikke at det er grunnlag for å omgjøre vedtak av 28.5.2014, utover at vedtaket om informasjonssikkerhet er presisert. Saken oversendes derfor til Personvernnemnda for klagebehandling.

5 Personvernnemndas syn

Nemnda vurderte først Eva Jarbekk og Arve Føyens habilitet i saken. Denne saken er foranlediget av Gjensidige-saken (PVN-2014-11) hvor Gjensidige var representert ved Føyen advokatfirma. Nemnda konkluderte med at Jarbekk og Føyen er inhabile. Varamedlemmer ble kalt inn.

Databehandleravtaler
Spørsmålet er hvorvidt det foreligger databehandleravtaler og om de eventuelt oppfyller lovens krav. FaVer er databehandler. En databehandler kan bare behandle personopplysninger i samsvar med databehandleravtalen, jf personopplysningsloven § 15. Personvernnemnda forstår faktum slik at det var inngått databehandleravtaler mellom FaVer og alle de behandlingsansvarlige kunder. Datatilsynet mener at klagers bruk av standard databehandlerkontrakt ikke er god nok, idet en slik standard må utdypes og utfylles for hvert enkelt kundeforhold. Klager har utarbeidet et dokument som er benevnt «Rutine for behandling av personopplysninger» datert 1.12.2013. Rutinen er senere revidert 7.4.2014, etter at klager hadde mottatt Datatilsynets foreløpige kontrollrapport. Klager har opplyst at de krav Datatilsynet har oppstilt i kontrollrapporten er imøtekommet i de reviderte rutinene. Rutinen er ikke blitt gjort til en del av avtalene i form av henvisning, men klager viser til at rutinen er tilgjengelig for alle oppdragsgiverne og dessuten akseptert av de fleste oppdragsgivere ved tilsynstidspunktet. I tillegg til databehandleravtalen har klager en «utredningsanmodning» som fylles ut av kunden ved opprettelse av et oppdrag.
     Databehandleravtalen fremstår som generell og omfatter punkter som «tillatt behandling av personopplysningene», «bruk av underleverandører», «krav til sikkerhetstiltak», «ansvars- og myndighetsforhold, innsyns- og bistandsplikt», «taushetsplikt» og «varighet». Nærmere informasjon om enkeltoppdrag får klager ved kundens utfylling av «utredningsanmodning». Ut over dette er ikke den nærmere behandling av personopplysningene, det vil si behandlingsmåte, rutiner og de nærmere informasjonssikkerhetstiltakene, omtalt i avtalen. Slike forhold er imidlertid nærmere beskrevet i rutinen for behandling av personopplysninger. Slik nemnda ser det fungerer databehandleravtalen som en rammeavtale og utredningsanmodningen som et avrop under rammeavtalen. Rutinen beskriver den nærmere behandlingsmåten for enkeltoppdrag.
     Spørsmålet er om det er lovhjemmel for et krav om at databehandleravtalen skal inkludere en behandlingsrutine eller eksplisitt henvise til slik rutine og om manglende inkludering og/eller henvisning vil representere et brudd på personopplysningsloven.
     Personopplysningsloven § 13 krever at den behandlingsansvarlige og databehandleren skal «gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger». Det er altså på det rene at lov og forskrift krever at både behandlingsansvarlig og databehandler har tilfredsstillende sikkerhetsrutiner, samt at disse kan dokumenteres. Bestemmelsen krever ikke at rutinebeskrivelser tas inn i databehandleravtalen. Et slikt krav følger heller ikke av personopplysningsloven § 15 eller personopplysningsforskriften § 3-1.
     Nemnda kan således ikke se at det foreligger brudd på personopplysningsloven ved at saksbehandlingsrutinene ikke er inntatt i eller henvist til i databehandleravtalen. De øvrige forhold som Datatilsynet har påpekt som mangler i rutinene er etter det nemnda forstår rettet i nye rutiner.  

Segmentering, eventuelt endring av data
Datatilsynet har endret kravet om segmentering etter at vedtak i PVN-2014-01 Skan­kontroll forelå. I den saken kom nemnda til at å stille krav om segmentering innebar at man gikk for langt i å foreskrive en konkret teknisk løsning. Det følger av det endrede vedtaket at FaVer må etablere tiltak for å sikre at opplysninger som er samlet inn fra en behandlingsansvarlig for et formål, ikke blandes med opplysninger fra en annen behandlingsansvarlig for et annet formål, jf personopplysningsloven § 13, jf personopplysningsforskriften § 2-11 og § 2-14. Nemnda finner det tilfredsstillende at det ikke lenger er lagt føring på en bestemt teknologi og tiltrer den endrede ordlyden i vedtaket. Nemnda er videre enig med Datatilsynet i at søk i hele datamaterialet bare kan skje dersom det foreligger et behandlingsgrunnlag for FaVer, jf personopplysningsloven § 11, jf §§ 8 og 9, eller dersom politiet har behov for det.

Tilgangsstyring
Når det gjelder tilgangsstyring er dette en del av informasjonssikkerhetssystemet, jf personopplysningsloven § 13 og personopplysningsforskriften kap 2. FaVer har anført at de har rutiner som sier at de skulle vurdere tilgangsstyring i hver enkelt sak (ref rutine for Advisor 1.12.2013 pkt 8), og at dette nå er skjerpet.
     Nemnda ser at selskapet er lite og bare har 4 ansatte og 3 innleide personer. Selskapet har rutiner for tilgangsstyringen og hvem som skal vurdere tilgang. Etter nemndas syn er tilgangsstyringen håndtert på en tilfredsstillende måte hensett selskapets størrelse, og at det må være tilstrekkelig at man tar stilling til dette fra sak til sak. Det foreligger ikke et brudd på personopplysningsloven.

Skyldgrad og gebyrets størrelse
Nemnda er kommet til at det ikke foreligger overtredelse av personopplysningsloven. Nemnda behøver således ikke å vurdere skyldgrad eller gebyrets størrelse.

Anførsel om saksbehandlingsfeil
Klager har anført at Datatilsynet har utredet saken grundigere i sitt oversendelsesbrev til Personvernnemnda enn i vedtaket og at det således foreligger en saksbehandlingsfeil. I lys av Personvernnemndas konklusjon ovenfor er det ikke nødvendig for nemnda å ta stilling til anførselen.

6 Vedtak

Klagen tas til følge.

 

 

Oslo, 18. januar 2016

Olav Torvund
Leder