Personvernnemndas avgjørelse av 5. januar 2012 (Arve Føyen, Tom Bolstad, Leikny Øgrim, Gisle Hannemyr, Ørnulf Rasmussen, Jostein Halgunset)
1 Innledning
Personvernemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets vurdering av krav til behandlingsgrunnlag ved screening mot ”denial/restricted parties lists” (lister over aktører det er forbudt eller restriksjoner på å gjøre forretninger med) etter amerikansk lovgivning.
2 Saksgang
Datatilsynet mottok en henvendelse fra juridisk direktør i ConocoPhillips Norge ved e-post av 16.5.2008. ConocoPhillips ønsket å drøfte en problemstilling med Datatilsynet vedrørende en screening som morselskapet i USA vil gjennomføre elektronisk via det interne SAP-system (hvor blant annet selskapets ansatte er registrert). Selskapet ba om et møte med Datatilsynet i sakens anledning.
ConocoPhillips Norge fulgte opp e-posten ved e-post av 21.5.2008. I e-posten fulgte en redegjørelse for den amerikanske lovgivningen. Et møte med Datatilsynet ble berammet til 4.6.2008.
Etter møtet 4.6.2008, fulgte Datatilsynet opp saken ved e-post av 12.8.2008. Datatilsynet etterlyste en godtgjørelse av at det fantes et lovlig grunnlag for eksport av personopplysninger. ConocoPhillips svarte i e-post av 1.9.2008 at hjemmelsgrunnlaget skulle avklares.
ConocoPhillips ga i brev av 22.12.2008 en grundig redegjørelse vedrørende overføring av persondata, med begrunnelse for overføring av personopplysninger og nærmere redegjørelse for de påberopte behandlingsgrunnlag i personopplysningsloven.
Datatilsynet besvarte brevet 15.9.2009. Datatilsynet gjorde en vurdering av behandlingsgrunnlagene og konkluderte med at det ikke forelå behandlingsgrunnlag i personopplysningsloven § 8 og at grunnkrav til behandlingen da ikke er oppfylt, jf lovens § 11, 1. ledd bokstav a.
ConocoPhillips Norge påklagde vedtaket i brev av 30.10.2009. Med brevet fulgte en rekke vedlegg.
Saken ble oversendt fra Datatilsynet 2.3.2010 og Personvernnemnda mottok saken 8.3.2010. Klager ble orientert om dette i brev fra nemnda datert 18.3.2010, med frist til uttalelse innen 9.4.2010. Brev fra klager kom inn 25.3.2010. Klager purret på saken per brev datert 9.8.2010. Personvernnemnda besvarte brevet per e-post av 16.8.2010.
Personvernnemnda tilskrev klagers advokat og ba om mer opplysninger i saken i e-post av 28.11.2010.
Personvernnemnda kom under saksbehandlingen til at saken ikke var tilstrekkelig opplyst. Saken ble sendt tilbake til Datatilsynet i brev av 24.1.2011 slik at Datatilsynet kunne rydde i saksfremstillingen og veilede klager.
Datatilsynet og klagers advokat avholdt et møte 22.2.2011 og det har vært etterfølgende e-postkorrespondanse og telefonkontakt mellom tilsynet og selskapets advokat. Datatilsynet har også kontaktet Lovavdelingen i Justisdepartementet.
Datatilsynet har ikke funnet grunnlag for å oppheve eller endre beslutningen. Saken ble oversendt til Personvernnemnda i brev av 1.8.2011 og mottatt her fra 3.8.2011. Klager ble orientert om dette i brev fra nemnda datert 10.8.2011, med frist til uttalelse innen 1.9.2011. Brev fra klager kom inn 23.8.2011.
3 Faktum
USAs lovgivning og ConocoPhillips’ firmapolitikk forbyr forretningstransaksjoner med personer og selskaper som er oppført på såkalte svartelister eller ”denial/restricted parties lists” (lister over aktører det er forbudt eller restriksjoner på å gjøre forretninger med) utarbeidet av offentlige organer i USA. For å forhindre at det utføres forretningstransaksjoner med personer oppført på en slik liste, skal ConocoPhillips i USA ved hjelp av SAP automatisk foreta jevnlig screening av alle ansatte, kunder og leverandører på verdensbasis opp mot ca 40 aktuelle lister utarbeidet av USA og flere andre land. ConocoPhillips Norge NUF (norsk avdeling av et utenlandsk selskap), har lister over navn på norske ansatte, avtaleparter. Listene finnes tilgjengelig for det amerikanske selskapet via SAP. Det er ConocoPhillips i USA som skal screene/sammenstille listene med slike lister. Den amerikanske lovgivningen pålegger amerikanske selskaper og deres utenlandske selskaper å følge påbudet om screening for å unngå transaksjoner (handels- eller finansielle transaksjoner) som er forbudt å gjennomføre etter amerikansk rett.
Selskaper i ConocoPhillips konsernet benytter en felles elektronisk plattform (SAP) for alle deler av konsernets virkeområder, også i Norge. De ulike virksomhetsområdene er atskilt gjennom tilgangsstyring som ivaretar de enkelte lands regler om datasikkerhet og personvern. Videre er det inngått avtale (EUs standardavtale) mellom ConocoPhillips Norge og ConocoPhillips Company om overføring av opplysninger via SAP til USA. Tilsvarende er gjort for de øvrige europeiske selskaper.
Det er ConocoPhillips Company (hovedkontoret i USA) som skal foreta en global elektronisk screeningprosess gjennom det interne SAP-systemet. Til sammen er det registrert rundt 36 000 ansatte i denne basen, hvorav 1500 arbeidstakere i Norge. Systemet er programmert til å automatisk blokkere forsøk på transaksjoner med aktører som kommer opp som treff i henhold til listen over restriksjonsbelagte aktører og hindre at en slik transaksjon gjennomføres. Ved et eventuelt treff vil det bli varslet om at transaksjonen ikke kan gjennomføres fordi en av partene er svartelistet. Ved eventuelle treff på arbeidstakere vil en konsultasjonsprosess gjennomgås.
4 Klagers anførsler
ConocoPhillips Norge peker på at det foreligger en rettslig forpliktelse for selskapet å foreta en slik screening av ansatte og forretningsforbindelser. Manglende etterlevelse vil medføre store konsekvenser for selskapet, for eksempel i form av økonomiske sanksjoner.
Formålet med screeningen er å unngå å kontrahere med personer/selskaper som har brutt loven. Dette er en ”berettiget interesse”. Plikten er også en konsekvens av USAs folkerettslige forpliktelser. En lignende screening er tillatt i Sverige.
Screeningen foretas mot åpne tilgjengelige lister. Den ansatte selv kan sjekke hvorvidt vedkommende er registrert på en av listene. I forlengelsen av dette må selskapet kunne overlevere navn/kontaktopplysninger på egne ansatte/kunder/medkontrahenter til morselskapet. Sannsynligheten for at det skal oppstå treff ved søk knyttet til den norske virksomheten er minimal. Det er også utarbeidet en konsultasjonsprosess som skal sikre en pålitelig og rettferdig prosess.
Personvernimplikasjonene ved screening av ansatte vil være mindre enn ved at det foreligger en direkte mistanke om straffbare forhold, som var tilfellet i uttalelsen fra Art 29-gruppen i en sak 1/2006.
Klager anfører at overføringen kan ses på to måter:
- som en overføring internt mellom ett og samme selskap (ConocoPhillips Norge) hvor screeningen skjer i USA på vegne av ConocoPhillips Norge, og
- som en overføring fra ConocoPhillips Norges norske filial til ConocoPhillips Company i USA.
Sistnevnte synsvinkel taler for at det bør inngås en ”controller til controller”-avtale. Det er allerede gjort mellom ConocoPhillips Norges norske filial og ConocoPhillips Company i USA. Førstnevnte synsvinkel taler for at det bør inngås en ”controller til processor”-avtale. Både Personvernnemnda og Datatilsynet har lagt til grunn at det bør inngås en ”controller til controller”-avtale. ConocoPhillips Norge har ingen innvendinger mot dette og mener at valget av avtaleform uansett ikke er avgjørende for om slik screening kan gjennomføres.
Klager anfører at Datatilsynet tar feil når tilsynet baserer sin vurdering på at opplysningene skal overføres til USA fra ett rettssubjekt til et annet. Hovedspørsmålet er om ett og samme selskap – ConocoPhillips Norge – kan overføre identitetsopplysninger om selskapets norske ansatte til sitt hovedkontor i USA.
ConocoPhillips Norge NUF har inngått overføringsavtale (EUs standardavtale) med sitt amerikanske morselskap ConocoPhillips Company. Det har sammenheng med at selskapets hovedkontor ikke selv har administrative ressurser til å gjennomføre de undersøkelser det er pålagt etter amerikansk lov. Dersom partsforholdet er avgjørende kan ConocoPhillips Norge inngå en ny avtale mellom selskapets filial og hovedkontor samt en databehandleravtale med ConocoPhillips USA. Det sentrale er at ConocoPhillips Norge NUF (norsk avdeling av et utenlandsk selskap) i egenskap av å være et amerikansk selskap, har etter sitt hjemlands rett plikt til å kjenne identiteten til alle ansatte og må kunne redegjøre for alle ansatte.
Overføringen kan hjemles enten i avtalen mellom selskapet og den enkelte ansatte eller i de lover som regulerer selskapets virksomhet i Norge. Alle ansatte i ConocoPhillips Norge har sitt ansettelsesforhold i et amerikansk selskap. Norsk lov både tillater og legger til rette for at utenlandske selskaper kan drive virksomhet i Norge på annen måte enn norskregistrerte selskaper. Utenlandske foretak kan selv bestemme hvordan virksomheten skal organiseres. ConocoPhillips Norge mener at utenlandske foretaks rett til å kjenne identiteten til sine ansette er en selvsagt forutsetning for de lover som legger til rette for at slike foretak kan drive virksomhet i Norge. Det som er det springende punkt i denne saken der derfor ikke om hovedkontoret har rett (hjemmel) til å gjøre seg kjent med identiteten til sine ansatte. Spørsmålet er kun om selve overføringen av opplysningene til USA er lovlig. For overføringen innen samme rettssubjekt vil dette spørsmålet utelukkende reguleres av personopplysningsloven §§ 29 og 30. Overføringen er som sådan ingen behandling som krever hjemmel i personopplysningsloven §§ 8 eller 9.
For det tilfelle at Personvernnemnda skulle komme til at det ikke foreligger hjemmel i lov eller avtale, mener ConocoPhillips Norge at slik overføring uansett vil være lovlig etter personopplysningslovens § 8 bokstav b og/eller f. For så vidt gjelder bokstav b, har ConocoPhillips Norge anført at bestemmelsen i alle fall hjemler overføring av personopplysninger med det formål å gjennomføre screening i tråd med amerikansk lovgivning som implementerer USAs internasjonale forpliktelser. Det vises til forarbeidene til personopplysningsloven at behandling i tråd med forpliktelser som følger av internasjonale regler vil være å anse som en ”rettslig forpliktelse”. Datatilsynet har ikke vurdert dette spørsmålet, til tross for at det er anført i klagen.
For så vidt gjelder bokstav f, har ConocoPhillips Norge anført at den plikt amerikanske selskaper har til å vite identiteten til selskapets ansatte og forretningsforbindelser i Norge ikke vesentlig skiller seg fra den plikt norske selskaper har etter norsk lov.
For det første mener ConocoPhillips Norge at det er direkte feil at Norge kun har påtatt seg én folkerettslig forpliktelse til å iverksette tiltak mot personer navngitt i lister utarbeidet av internasjonale organisasjoner. Det fremgår av klagen at det foreligger minst 13 forskrifter som forbyr eller setter begrensninger for norske borgere og selskapers kontakt med personer som er oppført på slike lister. Forskriftene er et resultat av Norges folkerettslige forpliktelser og pålegger i realiteten norske borgere og selskaper å føre kontroll med at de ikke har (ulovlige) forretningsmessige relasjoner med personer som er oppført på listene.
For det annet er det ikke riktig at lovgiver har vurdert og kommet til at screening mot lister i seg selv er problematisk eller ulovlig etter norsk rett. At norske borgere og selskaper har hjemmel for, og til dels plikt til, å screene sine forretningsforbindelser mv opp mot slike lister, er på det rene.
For det tredje fremstår Datatilsynets synspunkter knyttet til ”suverenitetsbetraktninger” og betenkeligheter ved ”å i realiteten gi amerikansk lovgivning direkte virkning i Norge” som i liten grad å ta inn over seg at de samme innvendinger kan gjøres gjeldende mot norske lover som pålegger norske selskaper plikter knyttet til disses virksomhet utenfor Norge.
Det er ingen tvil om at USA har rett til å pålegge egne borgere og hjemmehørende selskaper plikter knyttet til virksomhet utenfor landets grenser, herunder Norge. Nasjonalitetsprinsippet er også basis for norske myndigheters kontroll over norske selskapers virksomhet utenfor Norge. Det er i norsk lov en fremmed tanke at selskaper som Statoil og Telenor ikke skal kunne redegjøre for hvem deres ansatte og forretningsforbindelser i land i Asia, Afrika og Amerika er.
ConocoPhillips fastholder at screeningen ConocoPhillips Norge er pålagt å gjennomføre etter amerikansk rett ikke vesentlig skiller seg fra de undersøkelser norske selskaper som driver virksomhet i utlandet må gjennomføre etter norsk rett. Hensynet til den registrertes personvern overstiger ikke den interesse selskapet har i å overholde de plikter de er underlagt i USA i egenskap av å være et amerikansk selskap. Listene det vil screenes mot er dels utarbeidet av internasjonale organisasjoner og de er alle offentlig tilgjengelige på internett.
ConocoPhillips Norges operative virksomhet i Norge drives i stor grad gjennom norske avdelinger.
Hjemmelsgrunnlaget for overføring av identitetsopplysninger om de norske selskapenes kunder og leverandører vil måtte søkes i personopplysningslovens § 8 bokstav b eller f. Overføringen skjer ikke innen samme rettssubjekt, men mellom to selskaper i samme konsern.
Klager bemerker at det er uheldig at Datatilsynet har gjentatt store deler av forrige oversendelsesbrev i oversendelsesbrevet av 1.8.2011. Det blir feil og misvisende. Klager mener at særlig Datatilsynets redegjørelse for Norges internasjonale forpliktelser, norske regler som pålegger eller forutsetter at norske selskaper gjennomfører lignende eller sammenlignbar undersøkelse av kontraktsmotparter mv og det Datatilsynet omtaler som ”suverenitetsbetraktninger”, er svakt og/eller mangelfullt fundert. Datatilsynet synes ikke å legge vekt på at også norsk lov bygger på det folkerettslige nasjonalitetsprinsippet, og at også norsk lov forutsetter at norske selskaper som driver virksomhet i utlandet har lovmessig tilgang til opplysninger om hvem deres ansatte eller kontraktsmotparter i utlandet er.
5 Datatilsynets vurdering
Datatilsynet har gjennomgått ulike behandlingsgrunnlag etter personopplysningsloven § 8 og er kommet til at det ikke foreligger lovhjemmel til å utlevere personopplysninger fra Norge til USA for å foreta screening mot svartelister.
Videre mener Datatilsynet at det ikke er aktuelt med samtykke i denne saken, da kravet til frivillighet ikke vil være oppfylt, jf personopplysningsloven § 2 nr 7. Tilsynet viser deretter til at behandlingen ikke kan hjemles i personopplysningsloven § 8 bokstav b. Bestemmelsen gjelder ”rettslige forpliktelser”, men disse må være norske. Et annet lands nasjonale lovgivning vil falle utenfor virkeområdet for bestemmelsen, noe som også blir resultatet ut fra rene suverenitetsbetraktninger.
Datatilsynet drøfter deretter § 8 bokstav f. Tilsynet har forståelse for morselskapets behov for å etterleve amerikansk regelverk, samt det norskregistrerte selskapets ønske om å etterleve krav fra morselskapet. Videre ser Datatilsynet at et selskap kan ha en interesse i å hindre personer mistenkt for lovbrudd jobber i selskapet. Norge har påtatt seg en lignende forpliktelse gjennom forskrift om sanksjoner mot Usama bin Laden, Al-Qaida og Taliban av 22.12.1999 nr 1374. Dette er, etter hva Datatilsynet kjenner til, Norges eneste forpliktelse som involverer lister over personer/grupper/selskaper som det ikke er adgang til å gjøre transaksjoner med. Norge har unnlatt å opprette egne lister av denne karakter.
Deler av problematikken er tatt opp i Ot prp nr 61 (2001-2002) om lov om endringer i straffeloven og straffeprosessloven mv. Det vises til side 57. Opprettelsen av lister er vurdert, men departementet kom til at dette ikke vil være aktuelt, blant annet av hensynet til rettssikkerheten for de berørte parter.
Videre vil det ut i fra suverenitetsbetraktninger være betenkelig å i realiteten gi amerikansk lovgivning direkte virkning i Norge.
Art 29-gruppen har i uttalelse 1/2006 eksplisitt begrenset anvendelsesområdet til å omfatte ”… anvendelsen af EUs databeskyttelsesregler på interne ordninger for rapportering af urægelmessigheder på områderne regnskabsføring, intern regnskabskontrol, revision, bekæmpelse af korruption samt kriminalitet i bank- og finanssektoren”. Denne saken skiller seg på flere punkter fra faktum i uttalelsen fra Art 29-gruppen. Saken faller utenfor det direkte anvendelsesområdet til uttalelsen. Videre er behandlingen av personopplysninger av ulik art, ved at uttalelsen omhandler en situasjon hvor det foreligger varsel og/eller konkret mistanke for straffbare forhold, og hvor behandlingen av opplysninger kun gjelder disse personene. I denne saken ønskes det derimot å utføre en screening av samtlige ansatte, jobbsøkere, kunder og forretningsforbindelser opp mot lister som norske myndigheter vanskelig kan kontrollere kvaliteten og påliteligheten av.
Datatilsynet mener videre at denne saken skiller seg fra den svenske saken hvor medlemmer av den Svenska Bankförening kan screene bankenes kunder opp mot OFAC-listen. Tillatelsen gjelder behandling av personopplysninger i en annen bransje, hvor lovgiver gjennomgående har anerkjent behovet for kontroll. Det vises til hvitvaskingsreglementet. Screeningen foregår av bankkunder i Sverige og kun ved betaling til utlandet.
Det er vanskelig å vurdere hvilke faktiske konsekvenser en overlevering av opplysningene vil medføre for den enkelte. Svartelistene vil kunne inneholde opplysninger om såkalte mistenkte personer, men hvor det ikke finnes noen garantier for at grunnleggende straffeprosessuelle krav vil være oppfylt. For arbeidstakere i Norge kan eventuelle treff vanskelig gis direkte rettsvirkning, noe som for øvrig anerkjennes av ConocoPhillips. Det kan ikke tillegges vekt at sannsynligheten for treff er liten. En overlevering av slike opplysninger, med det formål å sammenstille disse med svartelistene, vil kunne innebære brudd på grunnleggende rettssikkerhetsgarantier, samt en omgåelse av regelverket som er ment å ivareta rettsikkerheten til både fysiske og juridiske personer.
Datatilsynet konkluderer med at hensynet til den registrertes personvern overstiger interessen i å overlevere opplysningene til USA. Det foreligger ikke gyldig behandlingsgrunnlag etter § 8, jf § 11, 1. ledd bokstav a.
6 Personvernnemndas merknader
Eva Jarbekk fratrådte behandling av saken på grunn av inhabilitet. Jarbekk er nå ansatt i Kluge advokatfirma, som bistår ConocoPhillips Norge i skattesaker.
ConocoPhillips Norge (org nr 948 138 646) er et norskregistrert utenlandsk foretak (NUF). Personvernnemnda legger til grunn at det amerikanske selskapet og NUF’et er samme juridiske enhet. En norsk avdeling av et utenlandsk selskap er et utenlandsk foretak, jf foretaksregisterloven § 1-2, men det er registreringspliktig i Norge når det driver næringsvirksomhet her, jf foretaksregisterloven § 2-1, annet ledd.
I Norge har ConocoPhillips Norge (NUF) registre med opplysninger om ansatte, kunder og leverandører. Disse opplysningene er lovlig innsamlet her, jf personopplysningsforskriften § 7-16 (lister over nåværende og tidligere ansatte, innleid arbeidskraft, søkere til stillinger mv) og § 7-7 (kunder, leverandører mv).
Det rettslige spørsmålet for Personvernnemnda er om overføringen av de legalt innsamlede opplysninger har rettslig grunnlag. En overføring av personopplysninger fra Norge til USA krever hjemmel, jf personopplysningsloven §§ 29 og 30. I samsvar med europeisk praksis legger nemnda til grunn at § 29 ikke kan benyttes ved overføring til USA. Nemnda er kjent med at overføring til USA etter § 29 kan diskuteres, men tar ikke stilling til dette. Overføringen må derfor vurderes i henhold til § 30.
Spørsmålet om det foreligger adgang til å foreta screening av denne informasjonen i USA ligger etter Personvernnemndas syn utenfor vår jurisdiksjon. Etter nemndas syn har overføringen hjemmel i personopplysningsloven § 30 bokstav c), det vil si at det er nødvendig for å oppfylle en avtale. Behandlingen er også nødvendig for å ivareta selskapets interesser i kontrakter med leverandører og kunder, samt arbeidsavtaler med de ansatte, jf bokstav f). I en slik situasjon gir loven ikke adgang til å stille vilkår til overførselen.
Datatilsynets vedtak oppheves.
7 Vedtak
Klagen tas til følge.
Oslo, 5. januar 2012
Arve Føyen
Nestleder