Personvernnemndas vedtak 11. juni 2019 (Mari Bø Haugstad, Bjørnar Borvik, Line Coll, Gisle Hannemyr, Hans Marius Graasvold, Hans Marius Tessem)
Saken gjelder klage fra en arbeidsgiver på Datatilsynets vedtak 7. desember 2017 om ileggelse av overtredelsesgebyr på 75 000 kroner for ulovlig innsyn i og manglende sletting av tidligere arbeidstakers e-post.
Sakens bakgrunn
A var ansatt som kombinert lastebilsjåfør og kundebehandler i et godstransportfirmaet (heretter omtalt som [Transportfirmaet] eller arbeidsgiver) fra april 2013 til februar 2015. A leverte sin oppsigelse 28. november 2014 og hadde siste arbeidsdag 28. februar 2015.
I oppsigelsestiden (19. januar 2015), men før As fratredelse, innførte arbeidsgiver en fraværsassistent på As e-postadresse som innebar at e-poster sendt til A ble direkte videresendt til firmaets e-postadresse «[firmapostkasse]». [Transportfirmaet] begrunnet ordningen med at A ikke arbeidet full tid i oppsigelsestiden og at dette ble gjort for å følge opp kundene også når A var borte. [Transportfirmaet] og A er uenige om A var kjent med denne ordningen og om han hadde samtykket til innføringen av den.
Ordningen med videresendelse av e-post til As e-postkasse fortsatte etter at A hadde avsluttet arbeidsforholdet. [Transportfirmaet] la inn følgende automatiske svar til de som sendte e-post til As e-postadresse:
«Dear Sender,
Thank you for your e-mail. You are receiving this e-mail as the individual to whom you have addressed your mail is no longer working for [Transportfirmaet]. Your e-mail will be automatically transferred to [Transportfirmaets] general mailbox:
[firmapostkasse] where it will be attended to. You do not need to resend your message. Thank you.
Kind regards, Management.»
A kontaktet Datatilsynet 6. oktober 2016 og klaget på at [Transportfirmaet] ikke hadde avsluttet og slettet e-postkassen hans i virksomheten.
Datatilsynet ba 7. november 2016[Transportfirmaet] om en redegjørelse i sakens anledning og ba om å få oversendt virksomhetens internkontrollrutiner vedrørende ansattes e-postkasser.
[Transportfirmaet] ga en slik redegjørelse i brev til tilsynet 18. november 2016. Det framgår av [Transportfirmaets] redegjørelse at de oppfattet at de hadde fått samtykke fra A til sin håndtering av hans e-postkasse i oppsigelsestiden og etter hans fratreden, og at den innførte ordningen hadde sin bakgrunn i erfaringer knyttet til at en tidligere ansatt hadde sluttet, og deretter startet konkurrerende virksomhet. [Transportfirmaet] opplyste videre at A arbeidet som saksbehandler og hadde utstrakt kontakt med samarbeidende agenter verden over, samt med kunder som han gjennomførte flytting for [Transportfirmaets] interesse i å videresende e-poster etter As fratreden var å motta oppdragssensitiv dokumentasjon [Transportfirmaet] behøvde for å gjennomføre flytteoppdrag og for å være tilgjengelig for kunder.
A avviste i e-post til Datatilsynet 6. januar 2017 at han hadde gitt [Transportfirmaet] samtykke til videresending av hans e-poster i oppsigelsestiden eller etter siste arbeidsdag og motsatte seg at det skulle informeres om at hans arbeidsforhold var avsluttet.
Datatilsynet varslet [Transportfirmaet] om vedtak om overtredelsesgebyr 15. februar 2017.I varselet la Datatilsynet til grunn at e-postkassen til A var åpen fra han sluttet 28. februar 2015 og fram til 18. november 2016, dvs. nesten ett år og ni måneder etter avslutningen av arbeidsforholdet. Tilsynet la videre til grunn at e-poster sendt til As e-postadresse ble videresendt i hele denne perioden.Tilsynet varslet på denne bakgrunn et overtredelsesgebyr på 75 000 kroner for brudd på personopplysningsforskriften § 9-2 og § 9-4.[Transportfirmaet] ga sine kommentarer til varselet 24. februar 2017. [Transportfirmaet] bestred i sin kommentar at e-postkassen ble holdt åpen så lenge og la fram dokumentasjon som de mente viste at e-postkassen ble deaktivert/slettet fra 25. mars 2015, dvs. 3 ½ uke etter at A sluttet i virksomheten.
Datatilsynet traff deretter følgende vedtak om overtredelsesgebyr 7. desember 2017:
«[Transportfirmaet] pålegges i medhold av personopplysningsloven § 46 1. ledd å betale et overtredelsesgebyr stort kr 75 000 ˗ syttifem tusen 00/100 ˗ for overtredelse av personopplysningsforskriften §§ 9-2 og 9-4 for ulovlig innsyn i, herunder kontinuerlig overvåking av, tidligere arbeidstakers e-postkasse, samt manglende sletting av denne.»
I vedtaket la Datatilsynet til grunn at arbeidsgiver hadde holdt As e-postkasse åpen og sørget for automatisk videresending av e-poster til virksomhetens e-postkasse i 1 år og 9 måneder etter at arbeidsforholdet ble avsluttet.
[Transportfirmaet] framsatte rettidig klage på vedtaket 8. januar 2018.
Datatilsynet vurderte klagen og endret sin vurdering av når arbeidsgiver sluttet å videresende e-poster og avsluttet As e-postkasse. Tilsynet la, etter en ny vurdering, til grunn at e-postkontoen ble slettet den 25. mars 2015, 3 ½ uke etter at arbeidsforholdet ble avsluttet, slik [Transportfirmaet] hadde gitt uttrykk for. Datatilsynet opprettholdt for øvrig sin avgjørelse, herunder fastsettelsen av gebyrets størrelse.
Saken ble oversendt til Personvernnemnda 29. juni 2018. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer. [Transportfirmaet] har i brev til nemnda 28. august 2018 gitt sine kommentarer.
Partene og Datatilsynet ble i brev fra nemnda 2. november 2018 varslet om forlenget saksbehandlingstid og orientert om ny personvernlovgivning fra 20. juli 2018, med mulighet til å inngi merknader knyttet til ny lov. Nemnda har i brev til [Transportfirmaet] 2. mai 2019 stilt noen oppfølgingsspørsmål knyttet til klargjøring av faktum. [Transportfirmaet] har besvart henvendelsen 15. mai 2019 og gitt ytterligere kommentarer i e-post 23. mai 2019. A har gitt sine kommentarer i e-post mottatt av nemnda 23. mai 2019. [Transportfirmaet] har gitt sitt syn på As kommentarer i e-post 5. juni 2019.
Saken ble drøftet i nemndas møte 24. mai 2019 og avgjort ved skriftlig behandling etter at ytterligere kommentarer var hentet inn. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Line Coll, Gisle Hannemyr, Hans Marius Graasvold og Hans Marius Tessem. Nemndas sekretær, Anette Klem Funderud var også tilstede.
[Transportfirmaet] har i hovedsak anført
Datatilsynet har lagt feil faktum til grunn for sitt vedtak. Datatilsynets faktum er i direkte motstrid med dokumenterte saksopplysninger om at [Transportfirmaet] sørget for at den aktuelle e-postkontoen var både deaktivert og slettet under en måned etter at arbeidsforholdet var avsluttet. Det er oppsiktsvekkende at Datatilsynet opprettholder gebyrets størrelse uendret, til tross for at tilsynet ved oversendelse til nemnda har endret sin bevisvurdering og har lagt til grunn at den angivelige overtredelsen var på under 1 måned, og ikke 21 måneder som opprinnelig lagt til grunn.
Problematikken med avslutningen av e-postkassen har sin bakgrunn i at A ved årsskiftet 2014/2015 sa opp sitt arbeidsforhold i [Transportfirmaet]. For å sikre en forsvarlig avvikling i oppsigelsestiden, og ettersom han ikke var i normalt arbeid på heltid i hele oppsigelsesperioden, ble det allerede i januar 2015 lagt inn en autoreply-melding til avsendere som forsøkte å sende e-post til As e-postadresse. A var enig i og fullt ut innforstått med at denne løsningen ble benyttet for å sikre en forsvarlig og ryddig avslutning av hans arbeidsforhold. [Transportfirmaet] er overrasket over at A bestrider at det forelå enighet om dette. Det fremkommer av Datapolicyen som er vedlagt As ansettelseskontrakt at selskapets datautstyr «utelukkende skal benyttes til seksapets beste og ihht hva som er nødvendig for gjennomføring av hver enkelt medarbeiders arbeidsoppgaver.»
Under en måned etter at arbeidsforholdet var avsluttet (25. mars 2015) sendte [Transportfirmaet] instruks til sin IT-leverandør om at e-postkontoen til A skulle deaktiveres og slettes. [Transportfirmaet] mottok bekreftelse på dette fra sin IT-leverandør samme dag. Både instruksen og bekreftelsen er dokumentert gjennom bilag 1 til [Transportfirmaets] brev til Datatilsynet av 24. februar 2017.
Som ny og supplerende dokumentasjon som bekrefter det samme har [Transportfirmaet] framlagt fakturagrunnlag fra IT-leverandøren for henholdsvis februar, mars og april 2015. Hvis man sammenlikner disse fakturagrunnlagene, vil man se at A er oppført under «Aktive Brukere» i både februar og mars, men ikke i april. Dette skyldes at han ble avsluttet som bruker i IT-systemet i mars 2015.
Det er ikke riktig at A ikke hadde tilgang til sin e-postkonto eller [firmapostkasse] den siste måneden av oppsigelsestiden. I oppsigelsestiden fikk A bl.a. i oppgave å utarbeide en brukermanual for systemet Moveware, samtidig som han bistod B med overtakelsen av hans arbeidsoppgaver. A både mottok og sendte e-poster på [firmapostkasse] i denne perioden, nettopp fordi hans e-postkonto skulle avsluttes.
[Transportfirmaet] finner det sannsynlig at A har vikarierende motiver for å klage [Transportfirmaet] inn for Datatilsynet så lenge etter arbeidsforholdets opphør, og viser til at klagen først ble fremsatt etter at A ble ansatt hos en konkurrerende virksomhet sammen med en tidligere ansatt som ble avskjediget fra [Transportfirmaet] for utroskap i tjenesten.
Personopplysningsforskriften 2000 § 9-4 stiller ikke krav om at e-postkontoen skal avsluttes umiddelbart når noen slutter, men at dette skjer «innen rimelig tid» etter avslutningen av arbeidsforholdet. Arbeidsgivere er dermed gitt et visst slingringsmonn og en viss administrasjonstid til å områ seg og få gjennomført endringen.
Datatilsynets vedtak om overtredelsesgebyr er også basert på videresending av e-posten til A i to måneder, som tilsynet mener er et brudd på personopplysningsforskriften 2000 § 9-2. Forskriften § 9-2 forbyr ikke videresending som sådan, men forbyr «innsyn», som er å «gjennomsøke, åpne eller lese e-post i arbeidstakers e-postkasse». Det har aldri vært påstått av Datatilsynet eller andre at [Transportfirmaet] har foretatt innsyn i noen videresendte e-poster. [Transportfirmaet] har heller ikke gjort dette. Slikt innsyn forutsetter ikke bare en automatisk videresending, men også at det a) faktisk sendes e-poster til kontoen, og deretter b) at disse åpnes og leses.
Innsyn er uansett tillatt dersom det er «nødvendig for å ivareta den daglige driften», jf. forskriften § 9-2 bokstav a. Tanken bak videresendingen var at [Transportfirmaet], av hensyn til driften, skulle bli kjent med eventuelle oppdrag til firmaet, for å unngå å gå glipp av disse i en periode da A tidvis ikke ville være på kontoret eller sjekke e-posten sin selv. Det hadde således uansett vært materielt grunnlag for innsyn i e-posten.
Datatilsynet har vist til reglene om at forskriften ikke kan avtales fraveket til den ansattes ugunst, jf. personopplysningsforskriften 2000 § 9-5. Forbudet er neppe ment å hindre kortvarige, praktiske løsninger, der en ansatt ber en kollega om å sjekke e-posten mens vedkommende er på ferie, slik at vedkommende selv slipper å sjekke e-posten i ferien. Det samme må gjelde i et tilfelle som dette.
Det ikke grunnlag for å ilegge overtredelsesgebyr jf. personopplysningsloven 2000 § 46.
Subsidiært anføres at Datatilsynets bruk av et forhåndsfastsatt sjablongmessig gebyr, uten noen form for helhetsvurdering og nyansering ut fra sakens konkrete faktum, er i strid med grunnleggende utmålingsprinsipper i personopplysningsloven 2000 § 46 annet ledd.
Når det gjelder den behandlingsansvarliges økonomiske evne, er det direkte støtende og et grovt brudd på § 46 annet ledd bokstav h, når det ilegges et gebyr tilsvarende halve årsoverskuddet til selskapet det aktuelle året. Når Datatilsynet blindt følger en slik sjablongmessig utmålingspraksis, blir straffen den samme som om det var f.eks. Telenor eller Statoil som stod bak samme overtredelse. [Transportfirmaet] er en liten familieeid virksomhet, og gebyret har dermed i praksis samme virkning som om den ble idømt eierfamilien direkte som privatpersoner.
Datatilsynets vurdering
I vedtaket 7. desember 2018 la Datatilsynet til grunn at e-postkontoen ikke ble deaktivert før 18. november 2016, nesten ett år og ni måneder etter arbeidsforholdets opphør. Bakgrunnen for at denne datoen ble lagt til grunn er det som framkom i redegjørelsen til Datatilsynet fra [Transportfirmaet] 18. november 2016. Datatilsynet la også vekt på at A i sin opprinnelige klage av 6. oktober 2016 anførte at e-postkontoen på det tidspunktet ikke var slettet og at innkommende e-poster ble videresendt. Det forelå ingen dokumentasjon på at e-postkontoen faktisk ble slettet.
Basert på dokumentasjonen i saken, herunder fakturagrunnlagene fra IT-leverandøren, har Datatilsynet i klageomgangen endret sitt syn på når e-postkontoen ble deaktivert. Tilsynet legger nå til grunn at e-postkontoen ble deaktivert 25. mars 2015, ca. en måned etter arbeidsforholdets opphør.
[Transportfirmaet] har ikke bestridt at alle innkommende e-poster til A etter avslutning av arbeidsforholdet ble videresendt til en annen e-postkonto. Datatilsynet vurderer det som sikkert at videresending av e-poster skjedde fra januar 2015 til 25. mars 2015, det vil si i over to måneder. Tilsynet legger det til grunn. Videresendingen innebærer et brudd på personopplysningsforskriften 2000 § 9-2.
Automatisk videresending av ansattes e-post er å anse som fortløpende innsyn, altså en form for kontinuerlig overvåking. I departementets merknader til forskriften presiseres det at:
«forskriften ikke gir rettslig grunnlag for kontinuerlig overvåking av arbeidstakers bruk av elektronisk kommunikasjonsutstyr. Bestemmelsene i forskriften gjelder kun innsyn i enkeltstående tilfeller for konkrete formål».
At As e-postkasse teknisk sett ikke lenger var å anse som aktiv er uten betydning i denne sammenheng, det sentrale og kritikkverdige punkt er at e-post som ble sendt til As e-postadresse i realiteten ble videresendt og mottatt av andre.
Automatisk videresending, selv kun i to måneder, er et alvorlig inngrep i den ansattes rett til å korrespondere fritt, og er dermed et inngrep i vedkommendes rett til privatliv. Samtidig blir personvernet til tredjeparter som sender e-post til arbeidstakeren krenket.
[Transportfirmaet] har vist til at A var enig i og innforstått med videresendingen av e-postene, men det er ikke adgang til å avtale et dårligere vern for arbeidstakeren enn det forskriften legger opp til, jf. personopplysningsforskriften 2000 § 9-5.
Datatilsynet har i sitt varsel om vedtak redegjort nærmere for hvilke momenter de har vektlagt ved utmåling av gebyrets størrelse. I Datatilsynets vedtak 7. desember 2017 er gebyrets størrelse begrunnet slik:
«Innsyn i form av automatisk videresending av e-post i et år og nesten ni måneder etter at arbeidsforholdet var avsluttet innebærer et klart brudd på personopplysningsforskriften §§ 9-2 og 9-4. Som det fremgår over er Datatilsynet ikke enig i [Transportfirmaets] vurdering med hensyn til auto reply løsning og at dette ikke har personvernkonsekvenser. Vi finner dermed ikke grunn til å omgjøre vår beslutning om å ilegge overtredelsesgebyr. Vi viser for øvrig til vår begrunnelse i forhåndsvarsel om vedtak.
Når det gjelder anførselen om å redusere overtredelsesgebyrets størrelse viser vi til at vi i flere lignende saker har ilagt 75.000 kr i gebyr og disse vedtakene er opprettholdt i Personvernnemnda. Vi kan ikke se at det er grunnlag for å gjøre unntak fra fast praksis i denne saken. Virksomhetens økonomiske evne må etter årsregnskapet for regnskapsåret 2016 anses som god. Vi finner dermed ikke grunn til å redusere beløpets størrelse.»
I oversendelsesbrevet til Personvernnemnda, etter at Datatilsynet har endret sin vurdering av faktum, er opprettholdelsen av gebyrets størrelse begrunnet slik:
«Selv om det er fremkommet nye opplysninger i klagen som har gitt grunn til å endre oppfatningen av når deaktivering/sletting fant sted, finner ikke tilsynet grunn til å omgjøre vedtaket om ileggelse av overtredelsesgebyr eller gebyrets størrelse. Økonomisk evne kan uansett ikke tillegges avgjørende vekt i vurderingen av om overtredelsesgebyr bør gis i denne saken. Det vises til at det i lovforarbeidene til bestemmelsen, Ot.prp.nr.71 (2007-2008) fremgår at dette momentet har "nokså begrenset betydning dersom det først er en grov overtredelse"».
Datatilsynet holder etter dette fast på at et overtredelsesgebyr på kroner 75 000 anses passende.
Personvernnemndas vurdering
Spørsmålet for nemnda er om [Transportfirmaet] har brutt personopplysningslovens bestemmelser om innsyn i og sletting av arbeidstakers e-postkonto, og dersom loven er brutt, om [Transportfirmaet] skal ilegges overtredelsesgebyr og eventuelt med hvilket beløp
Nemnda vil først si noe om hvilken lov som kommer til anvendelse i saken.
Ny lov om behandling av personopplysninger (personopplysningloven 2018) trådte i kraft 20. juli 2018. Fra samme tidspunkt ble personopplysningsloven 2000 opphevet.
Etter personopplysningsloven 2018 § 33 skal reglene om behandling av personopplysninger som gjaldt på handlingstidspunktet legges til grunn når det treffes vedtak om overtredelsesgebyr, med mindre lovgivningen på tidspunktet for avgjørelsen fører til et gunstigere resultat for den behandlingsansvarlige.
Denne saken gjelder [Transportfirmaets] behandling av personopplysninger knyttet til As e-postkonto i perioden fra januar til mars i 2015, eventuelt fram til 18. november 2016, dersom man legger As opplysninger til grunn. Uansett hvilket faktum som legges til grunn var det personopplysningsloven 2000 som gjaldt på handlingstidspunktet.
Arbeidsgivers adgang til innsyn i og plikt til sletting av arbeidstakers e-postkasse etter arbeidsforholdets avslutning fulgte i 2000-loven av personopplysningsforskriften kapittel 9 om innsyn i e-postkasse mv. De materielle reglene er i all hovedsak videreført etter vedtakelse av ny lov i 2018, men bestemmelsene er nå gitt i arbeidsmiljøloven § 9-5 og forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale (forskrift 2018-07-02-1108). Det er små endringer i ordlyden i den nye forskriften, men det materielle innholdet anses i all hovedsak å være videreført. Også ved brudd på forskriften gitt med hjemmel i arbeidsmiljøloven kan Datatilsynet ilegge overtredelsesgebyr etter personopplysningsloven 2018. Nemnda er enig med Datatilsynet i at personopplysningsloven 2018 ikke fører til et gunstigere resultat for [Transportfirmaet], og legger derfor personopplysningsloven 2000 med tilhørende forskrift til grunn for sin vurdering av denne saken.
Nemnda legger til grunn at overtredelsesgebyr etter personopplysningsloven er å anse som en administrativ sanksjon som har karakter av straff etter EMK artikkel 6. Etter rettspraksis stilles det da krav om klar sannsynlighetsovervekt for at skyldkravet er oppfylt, både i subjektivt og objektivt henseende, jf. Rt-2008-1409 og Rt-2012-1556. Det betyr i praksis at det er det faktumet som [Transportfirmaet] selv beskriver som skal legges til grunn, med mindre det foreligger klare holdepunkter i de foreliggende bevisene for at det forholder seg på en annen måte. Det er med andre ord ikke tilstrekkelig med mer enn 50 % sannsynlighet for å legge et annet faktum til grunn enn det [Transportfirmaet] selv forklarer, med mindre overvekten er «klart» mer enn 50 %. Det betyr også at der det er usikkerhet om faktum, skal det faktumet som er gunstigst for [Transportfirmaet] legges til grunn.
I og med at saken gjelder spørsmål om ileggelse av overtredelsesgebyr og en eventuell ileggelse av overtredelsesgebyr etter personopplysningsloven 2000 § 46 forutsetter en konkret utmåling av gebyret basert på en rekke nærmere angitte momenter, er det etter nemndas vurdering nødvendig å gi en relativt detaljert beskrivelse av det faktumet som legges til grunn i saken. Det er en svakhet ved Datatilsynets avgjørelse at dette i liten grad er gjort. En slik redegjørelse vil også avdekke eventuelle uklarheter i faktum som det er langt enklere å oppklare på et tidlig stadium i saken, før det er gått lang tid.
Nemnda har innhentet dokumentasjon fra A (kopi av videresendte e-poster) som viser at det faktumet [Transportfirmaet] har redegjort for ikke stemmer. Nemnda har derfor for sin bevisvurdering i hovedsak lagt til grunn As redegjørelse. Den nærmere begrunnelsen for dette framkommer nedenfor.
Nemnda legger følgende faktum til grunn:
A, som arbeidet som kombinert sjåfør og kundebehandler i [Transportfirmaet], sa opp sin stilling 28. november 2014. Han hadde tre måneders oppsigelsestid og hadde siste arbeidsdag 28. februar 2015. I oppsigelsestiden drev han delvis med andre arbeidsoppgaver og ikke primært med kundebehandling, men bistod ved overføring av saker til hans etterfølger. Hans PC ble overtatt av en annen arbeidstager, og nemnda legger til grunn at As tilgang til egne e-poster via selskapets e-post «[firmapostkasse]», i det minste var begrenset i og med at [Transportfirmaet] fant det nødvendig å videresende private e-poster også i oppsigelsestiden, mens A fortsatt arbeidet i [Transportfirmaet], jf. fremlagt videresendt e-post datert 20. februar 2015.
Basert på den framlagte e-postutvekslingen mellom [Transportfirmaet] og [Transportfirmaets] daværende databehandler, samt de framlagte videresendte e-postene fra [Transportfirmaet] til A fra henholdsvis 20. februar 2015 og 8. april 2015, legger nemnda til grunn at e-postadressen til A hos [Transportfirmaet] i realiteten ble frikoblet fra As brukerkonto og i stedet koblet til en annen e-postkasse, slik at e-poster adressert til A ikke lenger ble rutet til As e-postkasse, men i stedet rutet direkte til adressen «[firmapostkasse]». Det medførte at en senere sletting av As brukerkonto og e-postkasse (i mars 2015) ikke fikk noen betydning fordi e-poster som ble sendt til As e-postadresse fortsatt ble direkte rutet til «[firmapostkasse]».
Viderekoblingen (omrutingen) pågikk åpenbart fortsatt i april 2015, jf. framlagt videresendt e-post fra A. Det er ikke redegjort for noen endring i status for As e-postadresse etter det databehandler foretok seg i mars 2015. Nemnda finner på denne bakgrunn at det med klar sannsynlighetsovervekt må legges til grunn at viderekoblingen var aktiv fram til Datatilsynet i november 2016 tok kontakt med [Transportfirmaet].
A benyttet sin e-postkonto hos [Transportfirmaet] hovedsakelig til arbeidsrelaterte e-poster, men e-posten ble også benyttet til private formål, noe de framlagte videresendte e-postene viser. Det nærmere omfanget av dette er vanskelig å si noe sikkert om nå, over 4 år etter at A sluttet i selskapet.
Nemnda går etter dette over til å vurdere om det foreligger brudd på personopplysningsforskriften 2000 § 9-2 og § 9-4.
Personopplysningsforskriften 2000 § 9-2 første ledd bokstav a lyder:
«Arbeidsgiver har bare rett til å gjennomsøke, åpne eller lese e-post i arbeidstakers e-postkasse
a) når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten»
Nemnda legger til grunn at automatisk videresendelse av e-post anses som innsyn uavhengig av om e-posten åpnes og leses eller ikke. Videresendelsen innebærer i seg selv at det foretas innsyn i opplysninger om avsender og emnefelt, forutsatt at arbeidsgiver er inne i den postkassen som e-postene er videresendt til, noe det ikke er tvil om i dette tilfellet. Dette er i tråd med etablert praksis hos Datatilsynet og har også vært lagt til grunn av Personvernnemnda, se for eksempel PVN-2015-14. Med bakgrunn i personopplysningsforskriften 2000 § 9-2 andre ledd og etablert praksis, legger nemnda videre til grunn at forskriften ikke gir rettslig grunnlag for kontinuerlig overvåkning av arbeidstakers bruk av elektronisk kommunikasjonsutstyr, men kun åpner for innsyn i enkeltstående tilfeller for konkrete formål.
[Transportfirmaet] har anført at videresendelsen er lovlig fordi den må anses «nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten», jf. forskriften § 9-2 bokstav a.
Vurderingen ligger nær den vurderingen som skal foretas etter personopplysningsloven 2000 § 8 bokstav f som sier at personopplysninger kan behandles når behandlingen er nødvendig for å ivareta en berettiget interesse og hensynet til den registrertes personvern ikke overstiger denne interessen.
Nemnda legger, som Datatilsynet, til grunn at hva som er nødvendig avhenger av en konkret vurdering av om det er et kvalifisert behov for å åpne e-postkassen for å kunne ivareta den berettigede interessen arbeidsgiver mener å ha. Hensyn til virksomhetens forsvarlige og rasjonelle kommersielle drift mv. vil i seg selv være berettigede interesser for arbeidsgiver, men om innsyn ikke er nødvendig for å ivareta interessen i det konkrete tilfellet arbeidsgiver står overfor, kan innsyn ikke skje. Dersom ivaretakelse av driften kan oppnås med andre og mindre inngripende midler, vil innsyn i e-postkassen ikke være nødvendig, og således heller ikke tillatt etter forskriften.
Etter nemndas vurdering var arbeidsgivers automatiske videresendelse av e-poster fra As e-postkasse til selskapets e-postkasse i den siste måneden i As oppsigelsestid og fram til oktober 2016 da A kontaktet Datatilsynet, åpenbart ikke nødvendig og heller ikke tilstrekkelig begrunnet i arbeidsgivers berettigede interesser. Dette gjelder selv om nemnda legger til grunn at det ikke dreide seg om mange e-poster etter april 2015. Nemnda legger til grunn at bestemmelsen i utgangspunktet ikke tillater automatisk videresendelse i det hele tatt, men åpner for at det kan foretas innsyn i konkrete tilfeller hvor dette er begrunnet. Hvorvidt det i enkelte tilfeller og på visse vilkår kan være tillatt med en automatisk videresendelse går nemnda ikke nærmere inn på da det uansett ikke vil gjelde for en periode etter at arbeidstakeren ikke lenger er ansatt og ikke lenger selv har tilgang til e-posten, slik situasjonen var her.
Det er etter forskriften § 9-5 ikke adgang til å fastsette instruks eller inngå avtale om arbeidsgivers innsyn i arbeidstakers e-postkasse som fraviker bestemmelsene i forskriften til ugunst for arbeidstaker. [Transportfirmaet] har anført at dette ikke er til hinder for at arbeidsgiver og arbeidstaker i konkrete situasjoner avtaler praktiske løsninger om håndteringen av arbeidstakers e-post. Med det faktumet nemnda legger til grunn, foreligger det åpenbart ikke en slik situasjon i dette tilfellet. Nemnda finner det derfor ikke nødvendig å gå nærmere inn på denne anførselen.
Etter nemndas vurdering har arbeidsgiver foretatt innsyn i arbeidstakers e-post i strid med personopplysningsforskriften 2000 § 9-2.
Det neste spørsmålet er om arbeidsgiver har handlet i strid med personopplysningsforskriften 2000 § 9-4.
Personopplysningsforskriften 2000 § 9-4 lyder:
«Når arbeidsforholdet opphører, skal arbeidstakers e-postkasse mv. avsluttes og innhold som ikke er nødvendig for den daglige driften av virksomheten slettes innen rimelig tid. Personopplysningsloven § 28 gjelder tilsvarende.»
Personopplysningsloven 2000 § 28, som forskriften viser til, bestemmer i første ledd første punktum at den behandlingsansvarlige ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen.
I någjeldende forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale er tilsvarende bestemmelse gitt en noe annerledes ordlyd i § 4:
«Arbeidstakers e-postkasse skal avsluttes ved arbeidsforholdets opphør, med mindre det foreligger særskilt behov for å holde e-postkontoen åpen i en kort periode etter opphøret.
Opplysninger nevnt i § 1 første ledd bokstav a og b som ikke er nødvendig for den daglige driften av virksomheten, skal slettes innen rimelig tid etter arbeidsforholdets opphør.»
Nemnda legger til grunn at det ikke er skjedd noen materiell endring i de nye forskriftene og at ordlyden er i tråd med den tidligere forståelsen av personopplysningsforskriften 2000 § 9-4. Nemnda legger videre til grunn at hvor lenge det, med bakgrunn i denne bestemmelsen, kan være tillatt å holde oppe en e-postkonto etter et avsluttet arbeidsforhold, må vurderes konkret i det enkelte tilfellet.
Etter nemndas vurdering skulle As e-postkonto vært avsluttet ganske umiddelbart etter at arbeidsforholdet var avsluttet. Arbeidsforholdet ble avsluttet ved at arbeidstager leverte oppsigelse og siden var i delvis arbeid i oppsigelsestiden som var på 3 måneder. Det gir normalt gode muligheter for å sørge for nødvendig avslutning og overføring av de ulike kundeforholdene.
Nemnda vil understreke at behovet for å sørge for umiddelbar avslutning av As e-postkonto i dette tilfellet, skyldes nettopp den ordningen som var etablert med automatisk videresendelse av e-post. Uavhengig av om faktisk videresendelse skjer i mange eller få tilfeller, vil det potensialet som ligger i at det er etablert en ordning med automatisk videresendelse være et forhold som får betydning for hvor raskt e-postadressen må avsluttes og for hvor alvorlig overtredelsen av § 9-4 anses.
Nemnda er etter dette enig med Datatilsynet i at [Transportfirmaet] også har brutt personopplysningsforskriften 2000 § 9-4, ved i stedet for å avslutte As e-postkonto, foretok en omruting slik at e-poster sendt til A havnet et annet sted, også etter at hans brukerkonto ble avsluttet.
Etter personopplysningsloven 2000 § 46 første ledd kan Datatilsynet pålegge den som har overtrådt personopplysningsloven eller forskrifter i medhold av loven å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil 10 ganger folketrygdens grunnbeløp. Et foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll.
Datatilsynet har ilagt arbeidsgiver et gebyr på 75 000 kroner.
Personopplysningsloven 2000 § 46 andre ledd angir momenter som særlig skal vektlegges ved vurderingen av om gebyr skal ilegges og ved utmålingen av gebyrets størrelse. Om fastsettelsen av overtredelsesgebyrets størrelse sier departementet i Ot.prp. nr.71 (2007-2008) pkt. 4.4:
«Departementet viderefører forslaget i høringsnotatet om at overtredelsesgebyret ikke bør være standardisert, dvs. lyde på et bestemt beløp, men fastsettes i den enkelte sak. Departementet legger til grunn at lovovertredelsene og -overtrederne vil kunne være svært ulike. Lovovertrederen kan for eksempel være en fysisk person som behandler personopplysninger, eller et kommersielt foretak med stor omsetning. Også ved utmålingen av gebyret må Datatilsynet følge de retningslinjene som er angitt over. Det innebærer at det skal legges vekt på de momentene som angis i lovutkastet (hvor alvorlig overtredelsen er, graden av skyld osv.).»
Etter bokstav a skal det legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. I dette ligger et krav om å vurdere overtredelsens karakter, herunder varigheten av overtredelsen, omfanget av den og hvilke typer opplysninger det dreier seg om.
I dette tilfellet besto overtredelsen av ulovlig innsyn i e-poster ved automatisk videresendelse av e-post, samt manglende avslutning av arbeidstakers e-postkonto ved at denne (på grunn av omrutingen) ikke ble reelt avsluttet før nesten ett år og ni måneder etter at arbeidsforholdet ble avsluttet.
Selv om det er usikkert hvor mange e-poster som faktisk ble videresendt, er potensialet for ulovlig innsyn i e-post stort ved at det etableres en slik automatisk videresendelse av e-post, og dette anses som et skjerpende moment ved vurderingen av overtredelsens alvor. Det er også skjerpende at denne ordningen fortsatte selv om arbeidsgiver var klar over at A også benyttet e-postadressen til private formål.
Datatilsynet har i varsel om vedtak lagt til grunn at arbeidsgivers overtredelse ble gjort systematisk, og har vist til opplysninger fra A om at automatisk videresending av e-post også var gjort i forbindelse med tidligere arbeidstaker som sluttet. Også arbeidsgiver har redegjort for denne tidligere hendelsen og således bekreftet dette. Dette er etter nemndas syn likevel ikke tilstrekkelig for å legge til grunn at overtredelsen har skjedd systematisk.
Samlet sett er nemnda likevel enig med Datatilsynet i at det dreier seg om en grov overtredelse.
Når det gjelder graden av skyld, jf. § 46 bokstav b, skal det ved vurderingen legges vekt på om overtredelsen er resultat av et uhell eller en planmessig, villet handling. Det er ingen tvil om at arbeidsgiver i dette tilfellet har handlet forsettlig. Arbeidsgiver plikter å sette seg inn i de reglene som gjelder på området og eventuell uvitenhet om reglene er bare unnskyldelig dersom den er aktsom, jf. prinsippet i straffeloven § 26. I dette tilfellet foreligger det ingen aktsom rettsvillfarelse.
Videre skal det ifølge § 46 bokstav c legges vekt på om overtredelsen kunne vært forebygget ved retningslinjer, instruks, opplæring, kontroll eller andre tiltak. Nemnda er enig med Datatilsynet i at hendelsen kunne vært unngått ved at arbeidsgiver hadde satt seg bedre inn reglene, samt ved å sørge for internkontroll og rutiner for forsvarlig behandling av personopplysninger. Uten at det får betydning for fastsettelsen av gebyret i denne saken, har nemnda merket seg at [Transportfirmaet] nå har utarbeidet rutiner og retningslinjer som skal tilfredsstille kravene etter norsk personvernlovgivning.
I følge § 46 bokstav d skal det vektlegges om overtredelsen er begått for å sikre overtrederens interesser. Ordningen ble etablert for å sikre ivaretakelsen av virksomhetens kunder, hvilket er i arbeidsgivers økonomiske interesse.
Videre skal det legges vekt på om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen, jf. bokstav e. Nemnda viser her til det som er sagt under bokstav d.
Det følger av § 46 bokstav f at det skal vektlegges om det foreligger gjentakelse. Det foreligger ingen opplysninger om at [Transportfirmaet] er ilagt gebyr fra Datatilsynet for tilsvarende overtredelse tidligere.
Det skal legges vekt på om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff, jf. bokstav g. Det er ikke tilfelle i denne saken.
Endelig skal det legges vekt på overtrederens økonomiske evne, jf. bokstav h. Av opplysninger som er allment tilgjengelig på www.proff.no framgår det at [Transportfirmaet] hadde et årsresultat i 2015 på 564 000 kroner, i 2016 112 000 kroner og 267 000 kroner i 2017. Nemnda kan ikke se at økonomi er utslagsgivende i denne saken.
Nemnda er enig med tilsynet i at det skal ilegges gebyr. Ved fastsettelsen av gebyrets størrelse er det de samme momentene som skal vektlegges.
Datatilsynet har i sitt varsel om vedtak vist til egen tidligere praksis: sak 14/00298, 14/01268 og 15/01341. Disse sakene er ikke tilgjengelige verken for nemnda eller sakens parter. Personvernnemnda har imidlertid behandlet flere saker om overtredelsesgebyr knyttet til overtredelse av personopplysningsforskriften 2000 §§ 9-2, 9-3 og 9-4: PVN-2015-14, PVN 2016-07 og PVN- 2016-09. I alle sakene opprettholdt Personvernnemnda Datatilsynets vedtak og var enig i at overtredelsesgebyret skulle settes til 75 000 kroner.
I PVN-2015-14 ble gebyr ilagt for unnlatt avslutning av tidligere ansatts e-postkasse og viderekobling av e-post fra denne e-postkassen i sju uker etter arbeidsforholdets slutt. Virksomheten hadde etablert en fast praksis med videresending av tidligere ansattes e-post til ledelsen når arbeidsforholdet ble avsluttet. Den tidligere ansatte hadde ikke samtykket til videresendingen og hadde gjentatte ganger bedt om at e-postkontoen skulle slettes. E-posten ble også brukt til private formål, slik at også private e-poster ble videresendt.
I PVN-2016-09 ble gebyr ilagt for videresending av en ansatts e-post til en annen advokat i selskapet uten å varsle den ansatte som var suspendert i forbindelse med en arbeidskonflikt. Vedkommende ble varslet etter fire dager, men videresendelsen fortsatte i til sammen to uker. Den ansatte hadde ikke selv tilgang til e-posten sin i denne perioden og videresendelsen omfattet også privat e-post. Selskapet hadde et årsresultat på drøye 12 millioner kroner.
I PVN-2016-07 ble gebyr ilagt for unnlatt sletting og videresending av flere ansattes e-poster etter arbeidsforholdets slutt. Det er lagt til grunn at dette var en etablert fast praksis, uavhengig av om e-posten også ble brukt til private formål eller ikke. Det er ikke opplyst hvor mange ansatte det gjaldt og det er påpekt usikkerhet med hensyn til hvor lenge dette varte, men i alle fall i ett tilfelle varte videresendingen i ti måneder etter at arbeidsforholdet ble avsluttet.
Etter nemndas vurdering gir de ovenfor nevnte avgjørelsene veiledning også for fastsettelsen av gebyrets størrelse i denne saken. Nemnda har ved fastsettelsen av gebyret særlig lagt vekt på varigheten av overtredelsen og at overtredelsen skjedde ved automatisk videresending av alle e-poster adressert til A.
Overtredelsesgebyret settes etter dette til 75 000 kroner i tråd med Datatilsynets vedtak.
[Transportfirmaet] har ikke fått medhold i klagen.
Vedtaket er enstemmig.
Vedtak
Datatilsynets vedtak om ileggelse av gebyr på 75 000 kroner opprettholdes.
Oslo, 11. juni 2019
Mari Bø Haugstad
Leder