Datatilsynets referanse: 15/01346-7/KEK

PVN-2017-01 Hereid Hus

Klage på vedtak om overtredelsesgebyr – innsyn i arbeidstakers epostkasse

Personvernnemndas avgjørelse av 14. mars 2017 (Mats Wilhelm Ruland, Bjørnar Borvik, Gisle Hannemyr, Maryke Silalahi Nuth, Line Coll, Ellen Blinkenberg, Hans Marius Tessem)

1 Innledning

Saken gjelder klage på vedtak om overtredelsesgebyr for urettmessig innsyn i arbeidstakers epostkasse.

2 Saksgang og faktum

Datatilsynet ble kontaktet av en tidligere ansatt i Hereid Hus AS (Hereid Hus) i epost av 23. april 2015. Den tidligere ansatte er anonymisert av Personvernnemnda til «A». A klaget over at Hereid Hus hadde gjort innsyn i hans epostkasse, inkludert private og slettede eposter som var blitt gjenopprettet, uten at han ble varslet om dette.

Datatilsynet sendte den 1. juli 2015 brev til arbeidsgiver med krav om redegjørelse for innsynet i epostkassen. Det ble vist til regelverket i personopplysningsforskriften kapittel 9.
    
Den 9. september 2015 mottok tilsynet en redegjørelse fra advokat Harald Hetland på vegne av Hereid Hus.

Datatilsynet ga den 14. april 2016 varsel om vedtak om overtredelsesgebyr, samt pålegg om sletting av privat epost og utarbeidelse av rutiner for etterlevelse av forskriften kapittel 9.
    
Hereid Hus innga tilsvar til varselet den 12. mai 2016.

Den 21. september 2016 fattet Datatilsynet følgende vedtak:

  1. I medhold av personopplysningsloven § 46 fatter Datatilsynet følgende vedtak om overtredelsesgebyr:Hereid Hus AS pålegges i medhold av personopplysningsloven § 46 1. ledd å betale et overtredelsesgebyr stort kr 75 000 – syttifem tusen 00/100 – for overtredelse av personopplysningsforskriften §§ 9-2 og 9-3 for ulovlig innsyn i, samt manglende etterlevelse av prosedyrereglene for innsyn i tidligere arbeidstakers epostkasse.
  2. I medhold av personopplysningsloven § 46 4. ledd fatter Datatilsynet følgende vedtak om pålegg:
    1. Hereid Hus AS pålegges å slette all privat e-post de har fått tilgang til gjennom innsyn i As epostkasse i strid med personopplysningsforskriften § 9-2. Dette pålegget omfatter både elektronisk sletting samt sletting av papirkopier.
    2. Hereid Hus pålegges å utarbeide rutiner for å sikre etterlevelse av reglene i personopplysningsforskriften kapittel 9, jf. personopplysningsloven § 14, herunder
      1. rutiner for innsyn og varsel om innsyn,
      2. rutiner for avslutning/ deaktivering av e-postkontoer når arbeidsforhold opphører,
      3. rutiner for sletting av innhold i tidligere arbeidstakers epostkasse som ikke er nødvendig for virksomhetens daglige drift innen rimelig tid.

Datatilsynet mottok fristavbrytende klage den 12. oktober 2016, og senere en utdypende klage datert 27. oktober 2016. Tilsynet forsto klagen slik at den kun gjaldt vedtaket om overtredelsesgebyr.

I brev av 28. november 2016 trakk A klagen mot Hereid Hus, som følge av at han hadde inngått rettsforlik i forbindelse med en tvist med sin tidligere arbeidsgiver. Tilsynet uttalte i den forbindelse at det er uten betydning for klagesaken at A trekker sin klage. Etter tilsynets vurdering skal det likevel reageres med overtredelsesgebyr i denne saken.

Saken ble oversendt Personvernnemnda 4. januar 2017, som mottok saken 24. januar 2017. Både Hereid Hus og A ble orientert om dette i brev fra nemnda av 24. januar 2017. Frist for uttalelse ble satt til 8. februar 2017. Nemnda har ikke mottatt merknader fra noen av partene.

3 Klagers anførsler

Hereid Hus har prinsipalt anført at innsynet ikke var lovstridig. Subsidiært er det anført at gebyret er satt for høyt.

A ble først sagt opp på grunn av sviktende salg. Deretter ble han avskjediget som følge av grovt tillitsbrudd og illojal opptreden.

Det er korrekt at det ikke forelå avtale om at det var ulovlig med privat bruk av bedriftens epost. Det følger imidlertid av lojalitetsplikten i ansettelsesforhold at utstrakt bruk er utenfor det tillatte, og kan gi grunnlag for sanksjoner. Her har det vært så omfattende bruk av bedriftens epost at det representerer et pliktbrudd.

Erstatningssaken i tingretten omfattet også de private epostene. Dette var et tema av hensyn til misbruk av arbeidstid. Oppsigelsen fant sted før illojaliteten ble oppdaget. Oppsigelsen er derfor ikke relevant i denne saken. Det er avskjeden og dens grunnlag som er avgjørende.

Klager anfører at A ble varslet om innsynet. Dette fremgår av tingrettens avgjørelse hvor dette ble ansett sannsynliggjort. A protesterte ikke da han ble varslet, men deretter slettet han 800 eposter fra epostkassen. Hereid Hus mener at dette viser at han hadde til hensikt «å skjule sitt illojale forhold». Hereid Hus måtte gjenopprette de slettede epostene for å få den fulle oversikt. Det var ikke mulig å søke på søkeord og avgrense søket.

Videre mener Hereid Hus at det er en misforståelse at det er As personlige epostkasse det er foretatt innsyn i. Innsynet gjelder kun hans jobbmail, og denne ble også brukt til privat korrespondanse. Innsyn ble foretatt på grunn av mistanke om en illojal opptreden i arbeidsforholdet.

Når det gjelder gebyret anfører Hereid Hus at det ikke foreligger klar sannsynlighetsovervekt for grove pliktbrudd i denne saken. Bedriften ble påført betydelig økonomisk tap.

Bedriften hadde ikke rutiner for innsyn i ansattes epost, men etter denne saken er imidlertid rutiner blitt innført.

4 Datatilsynets vurdering

4.1 Spørsmålet om det foreligger det brudd på personopplysningsforskriften § 9-2

Innsyn i ansattes epost er i utgangspunktet ikke tillatt. Personopplysningsforskriften § 9-2 åpner imidlertid for at innsyn likevel kan gjennomføres under visse forutsetninger.
Spørsmålet er om innsynet i tidligere arbeidstakers epostkasse var nødvendig for å ivareta andre berettigede interesser ved virksomheten eller om det forelå en begrunnet mistanke om at As bruk av epostkassen medførte grovt brudd på de plikter som fulgte av arbeidsforholdet eller at bruken av epostkassen kunne gi grunnlag for oppsigelse eller avskjed, jf § 9-2 bokstav a og b.

Datatilsynet skiller mellom

  1. epost som har med konkurrerende virksomhet å gjøre og
  2. epost som har med private gjøremål å gjøre

Når det gjelder epost i kategorien konkurrerende virksomhet/arbeidsoppgaver for andre, begrunner arbeidsgiver innsynet med at «det forelå en begrunnet mistanke om at As bruk av epostkassen medførte grovt brudd på hans plikter i ansettelsesforholdet. Det var nødvendig med innsyn for å ivareta den daglige driften og avverge ytterligere skade for HH samt å få gjenopprettet deler av den skade som var påført».

Begrunnet mistanke om illojal adferd kan være forhold som berettiger innsyn i en ansatts (tidligere ansatts) epostkasse. Datatilsynet er av den oppfatning at innsynet i disse epostene var berettiget, jf personopplysningsforskriften § 9-2.

Når det så gjelder epost i kategorien private gjøremål, fremkommer det følgende av redegjørelsen fra arbeidsgiver: «I arbeidstiden har saksøkte utført omfattende arbeid for Idrettslaget X, kjøp av privat bil, arbeid med privathus, barnehage og sin ektefelles butikk på Y. Det omfatter i perioden 2013-2014 mailer med vedlegg som fyller to ringpermer». [Anonymisert av Personvernnemnda.]

Datatilsynet understreker at retten til privatliv også gjelder på jobb, og at et innsyn i epost av privat karakter innebærer et grovt inngrep i denne grunnleggende rettigheten. Tilsynet poengterer at dette i tillegg er problematisk i forhold til avsender av epostene av konfidensialitets- og fortrolighetshensyn.

De fleste arbeidsgivere tillater en viss bruk av epostkassen til private formål. Det bør derfor gis tydelig beskjed dersom dette likevel ikke er tillatt. Datatilsynet kan ikke se at det fremkommer av dokumentasjonen at det var et forbud mot å bruke epostkassen til private gjøremål. Arbeidstaker viser også til at han har utført flere oppgaver for sin arbeidsgiver som ikke har noe med virksomheten å gjøre, og at privat bruk av epostkassen var akseptert.

Begrunnelsen for at det er foretatt innsyn også i de private epostene er angivelig et forsøk på å godtgjøre at A har brukt en vesentlig del av sin arbeidstid til private gjøremål. Han skal av den grunn ha forsømt sine plikter for arbeidsgiver, og påført denne et vesentlig økonomisk tap. I den forbindelse vises til at A var oppsagt på grunn av sviktende salg før innsynet faktisk fant sted. Det fremkommer også av stevningen til Haugaland tingrett at kravet om erstatning ikke omfatter den tid som er brukt til private gjøremål. På denne bakgrunn har Datatilsynet kommet til at innsynet i de private epostene ikke var berettiget og at det dermed foreligger brudd på § 9-2.

4.2 Spørsmålet om det foreligger det brudd på personopplysningsforskriften § 9-3

Bestemmelsen inneholder regler om hvordan et innsyn skal gjennomføres. For det første skal arbeidstaker så langt som mulig varsles om innsyn og få en begrunnelse for hvorfor arbeidsgiveren finner det nødvendig å foreta innsyn i epostkassen hans. Videre skal han gis anledning til å uttale seg. «Så langt som mulig» gir anvisning på at det ikke er et absolutt krav om varsling, men at det bør tilstrebes.

Det er uenighet mellom partene om arbeidstaker ble varslet eller ikke, og Datatilsynet har ikke tatt endelig stilling til spørsmålet om arbeidstaker ble varslet i samsvar med kravene i personopplysningsforskriften. Det er ingen opplysninger som sier noe om hvordan innsynet skulle gjennomføres, herunder for eksempel hvilke søkeord som skulle benyttes, hvordan søket skulle avgrenses med videre. Dette innebærer i seg selv et brudd på bestemmelsen på personopplysningsforskriften § 9-3.

4.3 Datatilsynets vurdering av om overtredelsesgebyr skal ilegges

Datatilsynet har, i medhold av personopplysningsloven § 46 anledning til å ilegge et overtredelsesgebyr ved brudd på personopplysningsloven eller forskrift gitt i medhold av loven (personopplysningsforskriften). Datatilsynet har benyttet overtredelsesgebyr i flere saker som gjelder brudd på personopplysningsforskriften kapittel 9 om innsyn i epost mv. Adgangen til å ilegge overtredelsesgebyr er gitt som virkemiddel for å sikre effektiv etterlevelse og håndhevelse av personopplysningsloven. Internrettslig er overtredelsesgebyr ikke å anse som straff, men en administrativ sanksjon. Det må imidlertid antas at overtredelsesgebyr er å anse som straff etter EMK (Den europeiske menneskerettighets-konvensjonen) artikkel 6. I samsvar med Høyesteretts praksis legger Datatilsynet til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge gebyr, jf Rt 2012 s 1556 med videre henvisninger. Saksforholdet og spørsmålet om å ilegge overtredelsesgebyr er vurdert med utgangspunkt i dette beviskravet.

I vurderingen av om overtredelsesgebyr skal ilegges, skal det særlig legges vekt på momentene som er listet opp i personopplysningsloven § 46 annet ledd bokstav a-h:

a)    Hvor alvorlig overtredelsen har krenket de interesser loven verner,

Av personopplysningsloven § 1 annet ledd fremgår at loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovene for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på opplysningene.
Innsyn i epost representerer et alvorlig inngrep i den ansattes rett til å korrespondere fritt og brudd på de bestemmelser som søker å verne om denne rettigheten må anses som alvorlige og utilbørlige.

Et innsyn i all privat epost innebærer en grov krenkelse av arbeidstakerens rett til privatliv. Som vist til ovenfor representerer et slikt innsyn også en krenkelse av personvernet til tredjeparter som i god tro har sendt epost til arbeidstakeren. Hereid Hus kunne ha søkt å oppnå oversikt over tidsbruk til private gjøremål på annen måte. Et innsyn i all epost uten avgrensning, samt ingen dokumenterte rutiner for hvordan innsynet skulle gjennomføres innebærer etter Datatilsynets syn et grovt brudd på både personopplysningsforskriften § 9-2 og § 9-3.

b)    Graden av skyld,

Det fremkommer av forarbeidene til bestemmelsen (Ot. prp. nr. 71 (2007-2008) at det med graden av skyld siktes til hvor klanderverdig handlingen er, for eksempel om den bærer preg av et uhell eller om den har et mer systematisk eller planmessig preg.

En arbeidsgiver har plikt til å sette seg inn i de lover og regler som regulerer dens virksomhet. Dette gjelder i høy grad de regler som innebærer inngrep i den ansattes rett til privatliv. Det at en arbeidsgiver ikke har satt seg inn i reglene om innsyn er klanderverdig i seg selv, særlig sett hen til den personvernmessige konsekvensen dette kan ha for arbeidstaker.

I dette tilfellet er innsynet blant annet gjort i epost som arbeidstaker bevisst hadde slettet fordi de var av privat karakter. Datatilsynet mener dette gjør innsynet mer inngripende, og det bør derfor stilles strenge krav til at arbeidsgiver faktisk setter seg inn i reglene. Datatilsynet er derfor av den oppfatning at Hereid Hus AS har overtrådt et regelverk, som virksomheten burde ha satt seg inn i. Skyldkravet uaktsomhet anses oppfylt.

c)    Om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen,

Enhver virksomhet som behandler personopplysninger er forpliktet til å ha internkontroll og rutiner på plass for å sikre forsvarlig behandling av disse. Dette følger direkte av personopplysningsloven § 14 og personopplysningsforskriften § 3-1. Dersom virksomheten hadde satt seg noe bedre inn i regelverket, herunder tatt høyde for de ansattes personvern ved valg av fremgangsmåte, ville overtredelsen trolig vært unngått.

e)    Om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen,

Det synes uomtvistet at innsynet ble gjort for å fremme arbeidsgivers interesser. Arbeidsgiver har klart oppnådd fordeler ved innsynet uten å ta høyde for konsekvensene dette kan ha for arbeidstaker.

g)    Om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff,

Det er ikke aktuelt for Datatilsynet å ilegge andre reaksjoner enn overtredelsesgebyr for denne overtredelsen.

h)    Overtrederens økonomiske evne.

Dette momentet vil i utgangspunktet ha større betydning for utmaling av overtredelsesgebyret, enn for vurderingen av om overtredelsesgebyr skal ilegges. Det fremkommer av forarbeidene at dette momentet vil ha nokså begrenset betydning dersom overtredelses er vurdert som grov, jf § 46 bokstav a. Virksomhetens økonomiske evne anses som god. Datatilsynet mener at overtredelsesgebyr bør ilegges.

4.4 Fastsettelse av gebyrets størrelse

Datatilsynet har fastsatt gebyret til 75 000 kroner.

5 Personvernnemnda bemerker

Nemnda har kommet til samme resultat som Datatilsynet og kan i det vesentlige slutte seg til tilsynets merknader.

5.1 Rettslig utgangspunkt

Nemnda skal vurdere om vilkårene for å ilegge overtredelsesgebyr for innsyn i ansatts epostkasse er oppfylt, jf personopplysningsloven § 46, og eventuelt størrelsen på gebyret. Etter personopplysningsloven § 46 første ledd kan Datatilsynet pålegge den som har overtrådt personopplysningsloven eller forskrifter i medhold av loven å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil 10 ganger folketrygdens grunnbeløp. Et foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll.

Personopplysningsloven § 46 andre ledd angir momenter som særlig skal vektlegges ved vurderingen av om gebyr skal ilegges og ved utmålingen av gebyrets størrelse.

Personopplysningsforskriften regulerer innsyn i «arbeidstakers epostkasse» og «arbeidstakers personlige område i virksomhetens datanettverk og i andre elektroniske kommunikasjonsmedier eller elektronisk utstyr». Personvernnemnda påpeker at utgangspunktet hele tiden er innsyn i data som ligger på arbeidsgivers utstyr og/eller systemer, selv om terminologien er «arbeidstakers epostkasse» og «personlige områder». På slikt utstyr og systemer som er stilt til arbeidstakers disposisjon vil det til enhver tid være virksomhetsrelatert kommunikasjon og dokumenter, men også som regel privat kommunikasjon og dokumenter i større eller mindre omfang.

Selv om Personvernnemnda er kommet til samme resultat som Datatilsynet, finner nemnda det nødvendig å presisere at reglene i personopplysningsforskriften kapittel 9 ikke kan forstås slik at arbeidsgiver aldri kan lese ansattes private eposter, annen privat korrespondanse eller dokumentasjon. Forutsatt at de materielle vilkårene for innsyn i § 9-2 er oppfylt, kan det være situasjoner hvor arbeidsgiver har rett til å foreta innsyn i slik privat korrespondanse, for eksempel i en situasjon hvor det foreligger en berettiget mistanke om at arbeidstakers bruk av utstyr og systemer er i strid med lojalitetsplikten. Det er bare private eposter og annen korrespondanse som åpenbart ikke er relevante for arbeidsgivers vurdering som ikke kan leses eller åpnes av arbeidsgiver. Skillet mellom arbeidsrelatert og privat korrespondanse er altså ikke nødvendigvis avgjørende – viktigere er vurderingen av om det er foretatt innsyn i privat korrespondanse som ikke er relevant i for eksempel en lojalitetsvurdering. En arbeidstaker som oppfører seg illojalt, eksempelvis ved å ha egne oppdrag på siden av arbeidet for arbeidsgiver og som bruker arbeidsgivers epost til å skaffe slike oppdrag og eventuelt også utføre dem, vil naturlig nok påberope seg at slik bruk av systemet og tilhørende korrespondanse er «privat». Dette kan etter nemndas oppfatning ikke vinne frem. Forskriften er gitt for å verne reelt privat korrespondanse, i den utstrekning det tillates på arbeidsgivers systemer.

5.2 Spørsmålet om Hereid Hus har brutt personopplysningsforskriften

Nemnda vil først vurdere om Hereid Hus har brutt personopplysningsforskriften § 9-2.

Vilkårene for når en arbeidsgiver har rett til innsyn i ansattes epost fremgår av personopplysningsforskriften § 9-2. Det fremgår av denne bestemmelsen at innsyn kan bare gjøres:

  1. når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten,
  2. ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed

Datatilsynet har lagt til grunn at innsynet i As epost innebærer ulovlig innsyn etter personopplysningsforskriften kapittel 9 for så vidt gjelder innsyn i epost av privat karakter. I denne saken har Hereid Hus gjenopprettet en mengde epost av både privat og arbeidsrelatert karakter. Innsynet i virksomhetsrelatert epost ble forklart med at det forelå begrunnet mistanke om illojal adferd. Innsynet i privat epost ble begrunnet med at det forelå mistanke om at arbeidstaker hadde brukt arbeidstiden til private gjøremål.

Nemnda er enig med tilsynet i at virksomhetens innsyn i privat epost innebærer et omfattende inngrep i grunnleggende personvernrettigheter i denne saken. Nemnda er enig med tilsynet i at det ikke forelå rettslig grunnlag for å gjøre innsyn i As private epost etter personopplysningsforskriften § 9-2 i det omfanget som ble gjort i den foreliggende saken. For arbeidsrelatert epost finner nemnda at det forelå rettslig grunnlag for innsyn etter personopplysningsforskriften § 9-2 bokstav b).

Nemnda går så over til å vurdere om Hereid Hus har brutt personopplysningsforskriften § 9-3.

Personopplysningsforskriften § 9-3 oppstiller prosedyrer for arbeidsgivers innsyn i arbeidstakers epostkasse. Etter denne bestemmelsen skal arbeidstaker så langt som mulig varsles og få anledning til å uttale seg før arbeidsgiver gjennomfører innsyn.

Hereid Hus og A er uenige om han ble varslet forut for innsynet. Nemnda bemerker at det ikke er dokumentert at det ble gitt et varsel i samsvar med personopplysningsforskriften § 9-3. Hereid Hus har vist til tingrettens bevisbedømmelse i arbeidsrettssaken til støtte for anførselen om at A ble varslet forut for innsynet. Nemnda kan ikke se at det fremgår av tingrettens dom at varsel ble gitt i samsvar med kravene i personopplysningsforskriften. Nemnda mener at usikkerheten i dette tilfellet må gå ut over arbeidsgiver. Hereid Hus er nærmest til å dokumentere at prosedyrene i personopplysningsforskriften er fulgt, og Hereid Hus har en sterk oppfordring til å sikre denne dokumentasjonen.

Nemnda skal bemerke at varslingsplikten i § 9-3 ikke er absolutt, jf «så langt som mulig». Hereid Hus har imidlertid ikke anført noe som kan tas til inntekt for at det ikke var mulig å varsle på forhånd.

Videre er det et absolutt krav i § 9-3 andre ledd om varsling i etterkant. Ut fra faktum er det heller ikke holdepunkter for at slik varsel er gitt.

I likhet med Datatilsynet legger nemnda derfor til grunn at varsel ikke ble gitt i samsvar med kravene i personopplysningsforskriften § 9-3.

Nemnda er kommet til at det foreligger brudd på personopplysningsforskriften § 9-2 og § 9-3. Hereid Hus har således handlet i strid med personopplysningsloven. Vilkårene for å ilegge gebyr etter personopplysningsloven § 46 er oppfylt.

5.3 Vurderingen av gebyrets størrelse

Datatilsynet har opprettholdt vedtaket, herunder gebyret på kr 75 000, selv om arbeidstaker trakk klagen mot arbeidsgiver. Nemnda bemerker at vurderingen av om gebyr skal ilegges selv om klagen trekkes ligger innenfor Datatilsynets kompetanse, jf personopplysningsloven § 42, jf § 46.

Som nevnt ovenfor skal momentene som angis i personopplysningsloven § 46 andre ledd bokstavene a til h også tillegges særlig vekt ved utmålingen av overtredelsesgebyrets størrelse.

Etter bestemmelsens bokstav a) skal det legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. Hereid Hus’ overtredelse besto i å foreta innsyn i den ansattes private epost. I likhet med Datatilsynet mener nemnda at slik det innsynet er gjort i den foreliggende saken, innebærer det er denne handlingen en alvorlig krenkelse av de interesser som personopplysningsloven verner, slik som grunnleggende personvernhensyn, herunder personlig integritet og retten til privatliv, jf § 1 annet ledd.

Videre mener nemnda at grad av skyld hos Hereid Hus må tillegges vekt, jf personopplysningsloven § 46 andre ledd bokstav b). Det skal blant annet legges vekt på om overtredelsen er resultat av et uhell eller en planmessig, villet handling. I denne saken har Hereid Hus gjennomført innsynet uten å sette seg inn i reglene i personopplysningsforskriften kapittel 9.

Etter personopplysningsloven § 46 bokstav c) skal det også legges vekt på om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen. Hereid Hus har opplyst til Datatilsynet at det ikke forelå rutiner for innsyn i bedriften forut for hendelsen, men at dette er på plass nå. Nemnda mener at Hereid Hus, dersom det hadde foreligget rutiner, trolig kunne ha begrenset skadeomfanget og hatt bedre oversikt og kontroll. En instruks ville også ha sikret forutberegnelighet for de ansatte.

Det skal også vektlegges om overtredelsen er begått for å sikre overtrederens interesser, jf personopplysningsloven § 46 bokstav d). Nemnda mener overtredelsen mest sannsynlig er begått for å sikre arbeidsgivers interesser. Arbeidsgivers formål var å avdekke om arbeidstaker hadde benyttet arbeidstiden til private gjøremål. Hensikten med å skrive ut alle epostene til A og setter dem i ringpermer var for senere bruk i en arbeidsrettssak, det vil si sikre bevis. Nemnda legger imidlertid ikke vesentlig vekt på dette momentet idet arbeidsgivers formål ved innsyn i ansattes epost nærmest alltid vil være for å sikre egne interesser.

Nemnda er ikke kjent med at Hereid Hus er ilagt andre reaksjoner som følge av overtredelsen, jf personopplysningsloven § 46 andre ledd bokstav g).  Hereid Hus sin økonomiske evne taler heller ikke mot at gebyr ilegges, jf personopplysningsloven § 46 andre ledd bokstav h). Ved vurderingen har nemnda tatt i betraktning selskapets resultat for siste tilgjengelige inntektsår.

Datatilsynet har ved utmålingen av gebyret lagt vekt på både allmennpreventive og individualpreventive hensyn. Nemnda er enig i at dette er relevante momenter ved utmålingen av gebyret. Nemnda finner at utmålingen er i samsvar med Datatilsynets gebyrpraksis i sammenlignbare saker, jf PVN-2015-14 Viken Økonomi, PVN-2016-07 Synkron Media og PVN-2016-09 Codex advokat.

Nemnda mener det derfor ikke er grunn til å endre gebyrets størrelse.

6 Vedtak

Klagen tas ikke til følge.

 

 

Oslo, 14. mars 2017

Mats Wilhelm Ruland
Leder