Personvernnemndas vedtak 31. august 2021 (Mari Bø Haugstad, Bjørnar Borvik, Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin)
Saken gjelder klage over Datatilsynets utmåling av overtredelsesgebyr på 400 000 kroner for å ha utlevert personopplysninger innsamlet ved kameraovervåking i strid med personvernforordningen artikkel 6 og artikkel 5 nr. 1 bokstav a.
Sakens bakgrunn
Den 4. april 2019 fanget kameraovervåkingen i Coop-butikken i X opp en hendelse som butikksjefen oppfattet som tyveri i selvbetjeningskassen. Butikksjefen brukte sin private mobiltelefon og filmet/kopierte ca. tre sekunder fra opptaket fra butikkens overvåkingskamera. Opptaket som ble filmet viser verken vedkommende som begår tyveriet eller selve tyveriet, men viser en av de andre guttene i det samme følget. Formålet med opptaket var å identifisere ett av barna som ikke begikk lovbruddet, men som var sammen med den gutten som var mistenkt. Ingen ansikt vises, men man kan se håret, påkledning og skotøy. Butikksjefen sendte filmklippet av gutten til en annen butikkansatt i Coop-systemet med spørsmål om dette var hennes sønn. Butikkmedarbeideren besvarte spørsmålet negativt, og sendte deretter filmklippet videre til sin sønn, som igjen sendte det videre. Filmklippet nådde på denne måten fram til den eller de som var avbildet på opptaket. Filmklippet er senere slettet og er ikke sett verken av Datatilsynet eller Personvernnemnda. Beskrivelsen av innholdet er derfor basert på de opplysningene som er gitt i klagen.
Coop skrev en avviksmelding på hendelsen 10. april 2019, som ble sendt Datatilsynet. Butikksjefen kontaktet også berørte parter, beklaget hendelsen og ba dem om å slette filmopptaket. Han beklaget også direkte til de personene som ble filmet.
Coop anmeldte tyveriet til politiet og kameraopptakene ble da utlevert dem.
Etter å ha mottatt avviksmelding anmodet Datatilsynet 8. oktober 2019 Coop om en redegjørelse, som ble gitt 21. oktober 2019.
Datatilsynet varslet 28. februar 2020 Coop om at tilsynet ville treffe slikt vedtak:
«Med hjemmel i personopplysningsloven § 1, jf. personvernforordningen artikkel 58 nr. 2 bokstav i, jf. artikkel 83, pålegges Coop [i fylket Y], org.nr. […], å betale et overtredelsesgebyr til statskassen på 400 000 – firehundretusen – kroner for å ha utlevert personopplysninger i strid med personvernforordningen artikkel 6, og 5 nr. 1 bokstav a.»
I Coops merknader til varselet 25. mars 2020 erkjente virksomheten at hendelsen utgjør et brudd på personopplysningslovens regler, men anførte at gebyret på 400 000 kroner var en for streng reaksjon.
Datatilsynet traff 22. desember 2020 vedtak om overtredelsesgebyr på 400 000 kroner i tråd med utsendt varsel.
Coop klaget 28. januar 2021 rettidig på Datatilsynets vedtak. Klagen gjelder kun overtredelsesgebyrets størrelse.
Datatilsynet opprettholdt sin vurdering av overtredelsesgebyrets størrelse og oversendte saken til Personvernnemnda 3. mai 2021. Coop ble orientert om saken i brev fra nemnda 6. mai 2021, og fikk anledning til å komme med kommentarer. Coop ga sine kommentarer i brev 19. mai 2021.
Saken ble behandlet i nemndas møte 31. august 2021. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem og Morten Goodwin. Sekretariatsleder Anette Klem Funderud var også til stede.
Datatilsynets vedtak i korte trekk
Datatilsynet redegjør først for det faktumet som legges til grunn for tilsynets vedtak. Faktumbeskrivelsen er basert på butikkens egen redegjørelse av hendelsesforløpet i avviksmelding og i redegjørelsen til Datatilsynet.
Deretter redegjør Datatilsynet generelt for de rettslige utgangspunktene i personopplysningsloven og personvernforordningen og begrunner særskilt hvorfor forskrift for kameraovervåking i virksomhet ikke er relevant for den behandlingen av personopplysninger som skjer i dette tilfellet. Det vises til at særreglene om kameraovervåking i virksomhet er plassert i arbeidsmiljøloven kapittel 9, som omhandler arbeidsgivers adgang til å iverksette kontrolltiltak i sin virksomhet. Forskrift om kameraovervåking i arbeidsforhold er gitt med hjemmel i arbeidsmiljøloven § 9-6.
Datatilsynet fastslår at det har skjedd en behandling av personlysninger som faller inn under virkeområdet til personopplysningsloven og personvernforordningen, jf. personopplysningsloven § 2 og personvernforordningen artikkel 2. Det har skjedd en behandling av personopplysninger i to ledd; først da butikksjefen filmet de originale kameraopptakene med sin private mobiltelefon, og deretter da han sendte opptaket videre. Disse to operasjonene er behandlet samlet og tilsynet legger til grunn at formålet med behandlingen var å identifisere den avbildede personen for å oppklare en mulig straffbar handling.
Vurdering av behandlingsgrunnlag
Selv om virksomheten ikke anfører å ha behandlingsgrunnlag, og selv har meldt behandlingen av personopplysninger som et avvik til Datatilsynet, foretar Datatilsynet en selvstendig vurdering av om det foreligger behandlingsgrunnlag for behandlingen i personvernforordningen artikkel 6 nr. 1 bokstav f.
Lovens krav om at behandlingen må være nødvendig for formål knyttet til den behandlingsansvarliges berettigede interesse, innebærer at interessen som forfølges av den behandlingsansvarlige må være lovlig og reelt begrunnet i virksomheten. Datatilsynet drøfter først om den aktuelle behandlingen er nødvendig for formål knyttet til den behandlingsansvarliges berettigede interesse. Tilsynet påpeker at det er i butikkens interesse å avdekke hvem som har utført tyverier i virksomheten, men påpeker at det på den annen side ikke er nødvendig å utlevere opptakene til utenforstående, i og med at tyveriet kan oppklares og personene identifiseres ved å anmelde forholdet til politiet. Uansett er det tilsynets vurdering at den registrertes rett til personvern veier tyngre enn virksomhetens interesse i dette tilfellet. Datatilsynet har i denne vurderingen lagt avgjørende vekt på at det er barns personopplysninger som ble behandlet, jf. personvernforordningens fortalepunkt 38.
Videre viser Datatilsynet til Personvernrådets «Guidelines 3/2019 on processing of personal data through video devices» avsnitt 35. Tilsynet påpeker at personer som oppholder seg i butikken har en rimelig forventning om at de blir filmet, men at de ikke har noen rimelig forventning om at slike opptak utleveres til andre utenforstående personer enn politiet. Tilsynet peker på at skadepotensialet ved utlevering av personopplysninger mellom mobiltelefoner er stort ved at opplysningene kan spre seg raskt.
Tilsynet konkluderer i sitt vedtak med at behandlingen innebærer en ulovlig behandling av personopplysninger. Utleveringen innebar et avvik fra virksomhetens interne rutiner for kameraovervåking og behandlingen mangler behandlingsgrunnlag i personvernforordningen artikkel 6. nr. 1 bokstav f.
Overtredelsesgebyr
Datatilsynet vurderer at Coop skal ilegges et overtredelsesgebyr for overtredelsen. Ved vurderingen av om det skal ilegges gebyr og ved utmålingen tar Datatilsynet utgangspunkt i momentene i personvernforordningen artikkel 83 nr. 2 bokstav a til k. Datatilsynet viser til at tilsynet ilegger overtredelsesgebyr etter en skjønnsmessig helhetsvurdering, men at de opplistede momentene legger føringer på skjønnsutøvelsen ved å trekke fram momenter som skal tillegges særlig vekt.
Under henvisning til artikkel 83 nr. 2 bokstav a «Karakteren, alvorlighetsgraden og varigheten av overtredelsen […]» konkluderer Datatilsynet med at det dreier seg om en grov overtredelse. Overtredelsen innebærer et brudd på grunnleggende krav om lovlighet ved en behandling. Det er lagt stor vekt på at bruddet berører barn, som er gitt et særskilt vern i personvernregelverket. Det er vist til at utleveringen i seg selv er egnet til å føre til alvorlige konsekvenser, noe som er mer skadelig for barn enn for voksne.
Alvorligheten ved hendelsen øker ved at behandlingen representerer et brudd på virksomhetens interne retningslinjer for utlevering av personopplysninger fra kameraovervåking.
Det er også klanderverdig at butikksjefen brukte sin private mobiltelefon til å filme opptakene, som han deretter delte videre. Private mobiltelefoner er ofte tilknyttet skybaserte lagringstjenester, noe som kan føre til at filer blir lagret på flere enheter. Personen som eier telefonen vil derfor lettere kunne miste oversikten over hvor filen befinner seg.
Under henvisning til artikkel 83 nr. 2 bokstav b «Hvorvidt overtredelsen ble begått forsettlig eller uaktsomt» bemerker tilsynet at det ikke er et vilkår for ileggelse av overtredelsesgebyr at det foreligger subjektiv skyld hos overtrederen. Tilsynet viser til forvaltningsloven § 46 og Prop. 62 L (2015-2016) side 199 og legger til grunn at ansvaret i utgangspunkt er objektivt, men at det er av betydning for tilsynets vurdering hvor klanderverdig handlingen er.
Datatilsynet uttaler at handlingen som førte til bruddet i dette tilfellet er klart klanderverdig. Behandlingen ble utført av en person i en ledende stilling, gjennom en bevisst handling, og ikke som følge av et uhell. Virksomheten kan ikke høres med at det forelå rettsvillfarelse. Rettsvillfarelse er ikke unnskyldelig med mindre rettsvillfarelsen er aktsom, noe den etter tilsynets syn ikke er i dette tilfellet. En butikksjef innehar etter rutinene det ledende ansvaret for overholdelse av regelverket, som innbefatter både personopplysningsloven og de interne rutinene i virksomheten.
Etter tilsynets vurdering framstår det som en overskuelig konsekvens at et delt filmklipp vil deles videre, særlig dersom formålet med den opprinnelige delingen er å identifisere personer.
Det kan ikke konkluderes med at det foreligger forsett med hensyn til handlingens ulovlighet eller følgene av handlingen. Basert på de objektive holdepunktene som kan utledes av handlingene, mener Datatilsynet at det uansett er utvist grov uaktsomhet av en ledende person i virksomheten. Denne grovheten trekker i skjerpende retning.
Under henvisning til artikkel 83 nr. 2 bokstav c «Eventuelle tiltak truffet av den behandlingsansvarlige eller databehandleren for å begrense skaden som de registrerte har lidd» legger tilsynet i formildende retning til grunn at virksomheten foretok viktige og påkrevde tiltak i etterkant av avviket. Alle kjente involverte ble kontaktet og bedt om å slette eventuelle opptak, og butikksjefen ringte alle berørte parter og beklaget det inntrufne.
Under henvisning til artikkel 83 nr. 2 bokstav g «Kategorien av berørte opplysninger» bemerker tilsynet at det er uten betydning hvorvidt ansiktet vises eller ikke, eller om det er andre forhold, som påkledningen, som gjør det mulig å identifisere enkeltpersoner. Det avgjørende er at personen er identifiserbar.
Under henvisning til artikkel 83 nr. 2 bokstav h «På hvilken måte tilsynsmyndigheten fikk kjennskap til overtredelsen, særlig om og eventuelt i hvilken grad den behandlingsansvarlige eller databehandleren har underrettet om overtredelsen», uttaler tilsynet at det etter retningslinjene ikke kan anses formildende at en virksomhet overholder sine forpliktelser etter forordningen om å melde avvik, jf. Artikkel 29-gruppens retningslinjer i 17/EN WP 253 s. 14. At det meldes avvik taler derfor verken i formildende eller skjerpende retning.
Sakene Coop viser til fra tilsynsmyndighetene i Sverige og Tyskland omhandler svært ulike fakta sammenlignet med denne saken. Overtredelsesgebyr er begrunnet i konkrete omstendigheter i den enkelte sak og kan etter tilsynets vurdering ikke tillegges vekt ved utmåling av gebyr i foreliggende sak.
Ved utmåling av gebyrets størrelse skal det legges vekt på de samme vurderingsmomentene som er gjennomgått ovenfor. Tilsynet viser derfor til disse vurderingene. Overtredelsesgebyret skal være virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Gebyret skal oppleves som et onde. Dette innebærer at tilsynsmyndigheten skal gjøre en konkret, skjønnsmessig vurdering i hvert enkelt tilfelle.
Datatilsynet framhever at utleveringen gjelder barns personopplysninger, som skal nyte et særlig sterkt vern. Det er videre snakk om en overtredelse som følge av en uaktsom handling, utført av en person i en ledende stilling. Det er virksomhetens, og den som handler på virksomhetens vegnes, ansvar å sette seg inn i reglene for kameraovervåking, herunder reglene for utlevering. Også virksomhetens økonomiske evne vil være av betydning, selv om det ikke er aktuelt å utnytte det spennet i overtredelsesgebyrets størrelse som følger av artikkel 83. nr. 5. Coops økonomiske situasjon er i en særstilling. For at gebyret skal oppleves som et onde, slik at de preventive hensynene bak overtredelsesgebyr som reaksjonsform ivaretas, må gebyret ligge høyere enn det som tidligere har vært tilfelle i saker med liknende faktum.
Etter en gjennomgang av de ulike momentene kommer Datatilsynet til at Coop skal ilegges et overtredelsesgebyr på 400 000 kroner. Tilsynet anser at et gebyr på denne størrelsen vil være tilstrekkelig virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende, jf. personvernforordningen artikkel 83 nr. 1.
Coops syn på saken i korte trekk
Coop bestrider ikke at de faktiske omstendigheter i saken medfører at det foreligger et brudd på personopplysningsloven og personvernforordningen. Det ilagte overtredelsesgebyret på 400 000 kroner er en altfor streng reaksjon, og gebyrets størrelse står ikke i et rimelig forhold til overtredelsen. Datatilsynet har ikke i tilstrekkelig grad lagt vekt på de formildende omstendighetene i saken.
Ileggelse av gebyr
Det dreier seg ikke om en grov overtredelse og Datatilsynet har i for stor grad lagt vekt på risikoen for spredning og hvilket skadeomfang som potensielt kunne ha oppstått.
Det er på det rene at selve videosnutten er av svært begrenset varighet (ca. 3 sekunder). Videosnutten viser ikke vedkommende som begår lovbruddet (tyveriet) eller selve lovbruddet. Omfanget av personer er svært begrenset (til sammen fire personer). Utleveringen av videosnutten var et engangstilfelle og det kan ikke dokumenteres at dette enkelttilfellet har medført noen skade. At omfanget av personer er svært begrenset og at det er snakk om et engangstilfelle illustrerer at dette er en isolert hendelse, og ikke uttrykk for mer systematiske brudd eller mangel på interne retningslinjer i selskapet. Det påpekes at det i Coop foregår kameraovervåking i stor skala sett i lys av antall butikker og åpningstider. Dette er første gang et slikt avvik inntreffer.
Hvorvidt overtredelsen ble begått forsettlig eller uaktsomt er et moment som vil være relevant i vurderingen av om overtredelsesgebyr skal ilegges og ved fastsettelsen av gebyrets størrelse. Datatilsynet legger terskelen for forsett alt for lavt når det slås fast at handlingen ble utført gjennom «en bevisst handling, og ikke som følge av et uhell». Selv om handlingen ikke var en følge av et uhell, kan man ikke automatisk slutte at det er snakk om forsett. Handlingen var bevisst, men utleveringen skyldtes at den aktuelle butikksjefen ikke hadde satt seg inn i eksisterende retningslinjer. Den bevisste handlingen omfattet kun utlevering til en person innad i Coop. I lys av de objektive holdepunktene knyttet til handlingene i den konkrete saken kan det ikke etableres at den aktuelle butikksjefen har opptrådt med forsett.
Coop foretok viktige og påkrevde tiltak i etterkant av avviket, herunder ble alle kjente involverte kontaktet og bedt om å slette eventuelle opptak, og i vedtaket har Datatilsynet gitt sin tilslutning til at dette taler i formildende retning.
Selskapet har i sin redegjørelse vist at Coop har etablert rutiner for å forebygge at nettopp slike avvik som det inntrufne skal oppstå. Interne rutiner er gjennomgått i møte med alle butikksjefene, og disse har gjennomgått opplæring som er direkte relevant for den type overtredelse som den foreliggende. Det er kun butikksjef og annet ledende personale som har tilgang til kameraopptakene i butikkene. Den behandlingsansvarliges grad av ansvar, i form av hvilke tekniske og organisatoriske tiltak som er gjennomført i henholdt til artikkel 25 og 32, er et moment som Datatilsynet «skal ta behørig hensyn til». Datatilsynet kan ikke velge å se bort fra dette fordi det etter deres mening er vanskelig å slå fast at dette har sammenheng med overtredelsen. I henhold til Personvernrådets retningslinjer må Datatilsynet spørre seg hvorvidt Coop gjorde det som man rimelig kunne forvente, gitt den konkrete behandlingens art, formål og utstrekning, sett i lys av de forpliktelsene personvernforordningen pålegger dem. Coop mener at dette spørsmålet må besvares bekreftende i lys av de forholdene som er pekt på ovenfor. Etter Coops syn er de etablerte GDPR-rutinene i Coop en formildende omstendighet som må tillegges vekt ved totalvurderingen.
Det dreier seg om en førstegangsovertredelse selv om Coop driver kameraovervåking i stor skala. Dette viser at Coop har tilstrekkelige rutiner og lojalt følger personvernregelverket, noe som bør virke formildende i den totale vurderingen.
Det skal også tas hensyn til kategorien av opplysninger som er berørt. Det dreide seg ikke om umiddelbart identifiserbare personer og meldingen inneholdt heller ingen mistanke om at vedkommende er involvert i tyveri. Kategorien av personopplysninger som er berørt utgjør dermed en formildende omstendighet.
Det fastholdes at det forhold at Coop selv varslet Datatilsynet må virke formildende. En streng sanksjonspraksis kan svekke tilliten mellom tilsynsmyndighetene og de behandlingsansvarlige, og i verste fall medføre at avvik og brudd ikke meldes som forutsatt, ettersom de behandlingsansvarlige ikke vil være tjent med å melde om avvik dersom sannsynligheten for at Datatilsynet blir kjent med forholdet er lav.
Coop bestrider ikke at barn har et sterkere vern etter personvernforordningen. Ingen av de berørte i denne saken er imidlertid under 15 år. Barn under 15 år er gitt et særlig sterkt vern.
Vurdering av gebyrets størrelse
Tilsynsmyndighetenes sanksjonspraksis må harmoniseres på tvers av medlemsstatene i EU/EØS. Praksis fra tilsynsmyndigheter i andre medlemsstater er relevant ved vurderingen av gebyrets størrelse. Datainspektionen i Sverige har i DI-2019-2221 og DI-2018-22737 lagt seg på et lavere gebyrnivå. Det samme gjelder den tyske tilsynsmyndigheten i LfDI: Baden-Württemberg.
I Personvernnemndas avgjørelse PVN-2019-09 ble et bilde fra kameraovervåking publisert på Facebook. Publiseringen fikk konsekvenser for den avbildede og dennes familie. Virksomheten hadde verken retningslinjer, opplæring, kontroll eller andre tiltak for å sikre at behandlingen av opptak fra kameraovervåking var lovlig. Gebyret ble fastsatt til 50 000 kroner. Publisering på Facebook kan ikke sammenlignes med å sende en melding til én person innad i virksomheten slik tilfellet er i foreliggende sak. Selv om meldingen ble sendt videre, kunne meldingskjeden følges til identifiserte personer. At butikksjefen relativt raskt klarte å få kontroll på personopplysningene illustrerer dette. Publisering på Facebook vil derimot raskt nå fram til hundrevis av uidentifiserte personer som gjør det nærmest umulig å få kontroll. I vår sak nådde opptaket et svært begrenset antall personer og det kan ikke dokumenteres at hendelsen medførte noen skade for de berørte. I motsetning til behandlingsansvarlig i PVN-2019-09 har Coop etablert interne retningslinjer for behandling av personopplysninger, herunder retningslinjer som direkte angår kameraovervåking.
Gebyret i PVN-2019-09 ble fastsatt under henvisning til PVN-2017-16, som også gjaldt publisering på Facebook. Datatilsynet la i denne avgjørelsen til grunn at bildene var egnet til å identifisere en enkeltperson. Videre manglet virksomheten internkontroll som avklarte spørsmålet om lovligheten av delingen og som sikret etterlevelse av personopplysningsloven før kameraovervåking ble montert. Til tross for at denne virksomheten hadde en omsetning på nærmere 31 000 000 kroner og at det var snakk om flere skjerpende omstendigheter sett opp mot vår sak, ligger overtredelsesgebyret på samme nivå som PVN-2019-09.
Datatilsynet har lagt for stor vekt på at gebyret skal virke avskrekkende, og ikke tatt tilstrekkelig hensyn til at gebyret i hvert enkelt tilfelle også skal stå i et rimelig forhold til overtredelsen. Nivået i denne saken avviker sterkt fra tilsynets praksis i det de selv refererer til som liknende saker.
Personvernnemndas vurdering
Nemnda er enig med Datatilsynet, og legger til grunn, at Coops utlevering av personopplysninger innsamlet ved bruk av butikkens monterte kamerautstyr representerer et brudd på personvernforordningen artikkel 5 og artikkel 6 nr. 1 bokstav f. Denne delen av Datatilsynets vedtak er heller ikke påklaget.
Spørsmålet for nemnda er om det etter personvernforordningen artikkel 83 nr. 5, jf. artikkel 83. nr. 2 skal ilegges et overtredelsesgebyr for handlingen, og dersom det skal ilegges gebyr, hvor stort gebyret skal være.
Det følger av artikkel 83 nr. 1 at ileggelse av overtredelsesgebyr i hvert enkelt tilfelle skal være virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Både ved vurderingen av om det skal ilegges gebyr og ved utmålingen av gebyret, skal det tas hensyn til momentene i personvernforordningen artikkel 83 nr. 2 bokstavene a til k.
Det er for denne vurderingen sentralt å se på overtredelsens karakter, alvorlighetsgrad og varighet, jf. artikkel 83 nr. 2 bokstav a. Det følger av bestemmelsen at det skal tas hensyn til den berørte handlingens art, omfang eller formål, samt antall registrerte som er berørt og omfanget av den skade de har lidd. I dette tilfellet bestod overtredelsen av at butikksjefen filmet med sin private mobiltelefon ca. 3 sekunder fra de opprinnelige kameraopptakene fra butikken og videresendte filmklippet til en ansatt i butikken, som igjen sendte det videre. Nemnda legger til grunn at opptaket viser to av guttene som var i butikken, men at det ikke viser verken gutten som butikken mener begår tyveriet eller selve tyveriet. Ingen ansikt vises, men man kan se håret, påkledning og skotøy, slik at de som filmes kan identifiseres av personer som enten kjenner dem eller var der sammen med dem.
Formålet med opptaket var å identifisere ett av barna som ikke begikk lovbruddet, men som var sammen med den gutten som var mistenkt, for på den måten også å få identifisert den som var mistenkt for tyveri.
Verken innholdet eller varigheten av opptaket tilsier at den ulovlige behandlingen er særlig alvorlig. Det dreier seg ikke om opplysninger som omfattes av artikkel 9 eller artikkel 10, opptaket viser kun to personer (ytterligere to personer er involvert ved at de var til stede uten å være filmet) og opptaket har svært kort varighet.
De handlingene som representerer bruddene på personopplysningsloven i denne saken er butikksjefens filming og senere videresending av en sekvens av opptaket fra butikkens kameraovervåkingssystem. Nemnda legger til grunn at butikksjefen handler på vegne av den behandlingsansvarlige, og at den behandlingsansvarlige følgelig har et selvstendig ansvar for slike handlinger.
Ved å videresende opptaket til en annens mobiltelefon, mister butikksjefen, og dermed også den behandlingsansvarlige, kontrollen på opptaket og den videre bruken av det. Dette gjør etter nemndas vurdering handlingen mer alvorlig. Nemnda vil for ordens skyld presisere at det ikke er bruken av en skybasert lagringstjeneste som er problematisk, men at kameraopptaket blir lagret på et annet medium enn kameraovervåkingsutstyret, som den behandlingsansvarlige dermed ikke har kontroll over.
Det er skjerpende at det dreier seg om opptak av personer som er barn, jf. artikkel 6 nr. 1 bokstav f, som nevner barn særskilt. Forordningens fortalepunkt 38 fastslår også at barns personopplysninger på generelt grunnlag fortjener et særlig vern, ettersom barn kan være mindre bevisst på aktuelle risiki, konsekvenser og garantier, samt på de rettigheter de har når det gjelder behandling av personopplysninger.
Personene på filmklippet var i alderen 15 til 16 år. Personvernforordningen inneholder ingen definisjon av hvem som skal regnes som barn i forordningens forstand. Kommisjonens opprinnelige forslag til ny personvernforordning definerte barn som personer under 18 år, se Kommisjonens forslag til artikkel 4 nr. 18, men definisjonen gjenfinnes ikke i den vedtatte forordningen. Departementet har imidlertid lagt til grunn at en person ikke lenger er et barn i forordningens forstand når vedkommende har fylt 18 år. Dette er i overensstemmelse med utgangspunktet i FNs konvensjon 20. november 1989 om barnets rettigheter artikkel 1 som gjelder som norsk rett, jf. menneskerettsloven § 2 nr. 4, jf. Prop. 56 LS (2017–2018) side 95. Nemnda er enig med klager i at dette momentet veier tyngre jo yngre barn det dreier seg om. Sammenlignet med voksne er det likevel slik at også 15-16 åringer er gitt et ekstra vern etter forordningen.
Det foreligger samtidig ingen opplysninger om at den ulovlige behandlingen av personopplysninger har medført at de registrerte guttene har lidd noen skade og nemnda legger til grunn at det aktuelle filmopptaket ble slettet av de som hadde mottatt det etter få dager.
Nemnda er etter en gjennomgang av disse forholdene ikke enig med Datatilsynet i at det dreier seg om en grov overtredelse av personvernforordningen, slik tilsynet legger til grunn i sitt vedtak punkt 4.5.2.
Etter artikkel 83 nr. 2 bokstav b skal det videre legges vekt på hvorvidt overtredelsen ble begått forsettlig eller uaktsomt. Om skyldkravet skriver Datatilsynet:
«Det er ikke et vilkår for ileggelse av overtredelsesgebyr at det foreligger subjektiv skyld hos overtrederen. Det vises i denne sammenheng til kapittel IX i forvaltningsloven om administrative sanksjoner. Med en administrativ sanksjon menes en negativ reaksjon som kan ilegges av et forvaltningsorgan, som retter seg mot en begått overtredelse av lov, forskrift eller individuell avgjørelse, og som regnes som straff etter den europeiske menneskerettskonvensjonen (EMK).
For foretak er skyldvurderingen særegen. I forvaltningsloven § 46 første ledd heter det: «Når det er fastsatt i lov at det kan ilegges administrativ sanksjon overfor et foretak kan sanksjonen ilegges selv om ingen enkeltperson har utvist skyld.»
I Prop. 62 L (2015-2016) side 199 uttales det om § 46: «Formuleringen om at ‘ingen enkeltperson har utvist skyld’ er hentet fra paragrafen om foretaksstraff i straffeloven § 27 og skal forstås på samme måte. Ansvaret er derfor som utgangspunkt objektivt».
Dette bygger på en uriktig forståelse av gjeldende rett. Høyesterett har i HR-2021-797-A lagt til grunn at det objektive ansvaret for foretaksstraff som følger av ordlyden i straffeloven § 27, ikke er forenlig med straffebegrepet i EMK artikkel 6 nr. 2 og artikkel 7, slik det nå er fastlagt i praksis fra Den europeiske menneskerettighetsdomstol (EMD). Overtredelsesgebyr etter personopplysningsloven er å anse som en administrativ sanksjon som har karakter av straff etter EMK artikkel 6. Det må derfor legges til grunn at det er et vilkår for ileggelse av overtredelsesgebyr etter personvernforordningen at personen som har handlet på vegne av foretaket har utvist subjektiv skyld. Alminnelig uaktsomhet er tilstrekkelig. Uvitenhet om rettsregler fritar ikke for straff når uvitenheten er uaktsom, jf. straffeloven § 26. Tilsvarende gjelder for ileggelse av administrative sanksjoner som har karakter av straff.
Det er ingen tvil om at butikksjefens filming av kameraopptaket på egen mobiltelefon og videresendelse av dette opptaket til en annen butikkansatt representer en forsettlig handling. Selv om butikksjefen ikke regnet videresendelsen som sannsynlig, så har han i det minste utvist uaktsomhet også for denne handlingen. At han ikke på dette tidspunktet var kjent med at dette representerte en ulovlig behandling av opplysninger fritar ikke for ansvar (jf. ovenfor), og skyldkravet er dermed oppfylt. Det medfører etter nemndas vurdering likevel ikke at overtredelsen skal anses som grov.
Nemnda er enig med Datatilsynet i at det skal tillegges vekt i formildende retning at alle kjente involverte ble kontaktet kort tid etter hendelsen (fem dager) og bedt om å slette eventuelle opptak, jf. artikkel 83 nr. 2 bokstav c.
Etter personvernforordningen artikkel 83 nr. 2 bokstav h skal det i hvert enkelt tilfelle tas behørig hensyn til:
«på hvilken måte tilsynsmyndigheten fikk kjennskap til overtredelsen, særlig om og eventuelt i hvilken grad den behandlingsansvarlige eller databehandleren har underrettet om overtredelsen.»
Datatilsynet har lagt til grunn at det ikke kan anses formildende at en virksomhet overholder sine forpliktelser etter forordningen om å melde avvik, og har vist til Artikkel 29-gruppens uttalelse i 17/EN WP 253 s. 14 (nemnda antar at det er ment å vise til side 15). Nemnda er ikke enig i Datatilsynets vurdering på dette punktet. Det følger direkte av ordlyden i forordningen at dette er et forhold det skal tas behørig hensyn til. Som påpekt av Personvernnemnda i tidligere avgjørelser har Personvernrådets retningslinjer, i likhet med Artikkel 29-gruppens uttalelse, begrenset verdi som rettskilde, men gir nyttig veiledning som uttrykk for forvaltningspraksis hos tilsynene i EU og EØS.
Nemndas tolking av artikkel 83 bokstav h er også i tråd med det alminnelige strafferettslige prinsippet i norsk rett om at varsling og egenrapportering skal tillegges vekt ved reaksjonsfastsettelsen. Den konkrete vektleggingen vil imidlertid blant annet avhenge av hvor alvorlig overtredelsen er, og også sannsynligheten for at overtredelsen ville blitt oppdaget av tilsynsmyndigheten likevel. I dette tilfellet mener nemnda at det må vektlegges i formildende retning at behandlingsansvarlige selv raskt avdekket den ulovlige behandlingen, umiddelbart iverksatte tiltak for å unngå eller minimere skaden ved å kontakte alle de involverte, samt meldte hendelsen til Datatilsynet. Både allmennpreventive og individualpreventive hensyn tilsier at disse forholdene tillegges vekt ved vurderingen etter artikkel 83.
Nemnda har på denne bakgrunn vurdert om en irettesettelse etter artikkel 58 nr. 2 bokstav b, jf. 83 nr. 2 ville vært en tilstrekkelig reaksjon. Nemnda har likevel, under noe tvil kommet til at den ulovlige behandlingen av personopplysninger i dette tilfellet i utgangspunktet tilsier at det ilegges et overtredelsesgebyr. Det fastsatte gebyret er likevel satt for høyt. Dette skyldes at nemnda mener det ikke dreier seg om grov overtredelse slik Datatilsynet har lagt til grunn, samt at Datatilsynet ikke i tilstrekkelig grad har sett hen til de formildende momentene nemnda mener det må tas hensyn til ved utmålingen.
Nemnda vil understreke at det ved utmålingen må legges vekt på at Coop på tidspunktet for den aktuelle hendelsen hadde nødvendige interne retningslinjer på plass, noe som muliggjorde en rask reaksjon da bruddet ble oppdaget og gjenopprettende tiltak ble iverksatt.
Klager har vist til PVN-2019-09 hvor behandlingsansvarlig ble ilagt et gebyr på 50 000 kroner for å ha publisert et bilde på sin Facebook-side fra opptak gjort ved kameraovervåking. Bildet som viste en person var supplert med følgende tekst «Hvem er dette? Natt til lørdag kl 04.52 stjal denne tufsen julepynten vår. Han hadde med seg en likesinnet motivator i sort dress og brune sko. Tips ønskes da disse typene muligens bør konfirmeres av lovens lange arm ..». Nemnda la til grunn at det ikke dreide seg om et bagatellmessig brudd på loven og viste særlig til at bildet var publisert på Facebook og det ble i skjerpende retning lagt vekt på at virksomheten manglet retningslinjer, opplæring, kontroll eller andre organisatoriske tiltak for å sikre at personopplysninger innsamlet ved kameraovervåking skjer på lovlig måte.
Det er ingen tvil om at overtredelsen i PVN-2019-09 er klart mer alvorlig enn i denne saken, samt at de formildende omstendighetene som gjør seg gjeldende i vår sak er fraværende i 2019-saken. I PVN-2019-09 opprettholdt nemnda Datatilsynets ilagte gebyr på 50 000 kroner. Datatilsynet hadde imidlertid vurdert saken etter gammel lov (personopplysningsloven 2000), mens nemnda mente den skulle vurderes etter ny lov, jf. personopplysningsloven § 33.
Nemnda legger til grunn at personvernforordningen legger opp til et høyere gebyrnivå enn det som gjaldt etter personopplysningsloven fra 2000, og at dette nivået ikke enda var etablert på det tidspunktet Datatilsynet og Personvernnemnda traff sine avgjørelser i PVN-2019-09. Det tilsier at saken ikke er direkte sammenlignbar når det gjelder gebyrets størrelse.
Etter en samlet vurdering har Personvernnemnda kommet til at gebyret for overtredelsen i denne saken, etter det nivået som følger av personvernforordningen, bør ligge rundt 50 000 kroner.
Etter nemndas vurdering må det imidlertid ved den endelige fastsettelsen av gebyrets størrelse legges vekt på den lange saksbehandlingstiden hos Datatilsynet. Coop meldte selv den aktuelle hendelsen 10. april 2019, få dager etter at den hadde funnet sted. Det gikk deretter seks måneder før Datatilsynet ba virksomheten om en redegjørelse. Etter å ha mottatt denne gikk det ca. fire måneder før Datatilsynet sendte varsel om vedtak, og deretter nye ti måneder fra varselet ble sendt til vedtaket, likelydende med varselet, ble fattet 22. desember 2020. Etter at Coop klaget på vedtaket, gikk det ytterligere tre måneder før saken ble mottatt av nemnda 3. mai 2021. Saksbehandlingen hos nemnda har deretter tatt tre og en halv måned. Siden overtredelsen skjedde er det nå, i august 2021, gått til sammen 2 år og 4 måneder.
Nemnda minner om at tilsynet har en plikt til å gjøre rede for sin vurdering av saksbehandlingstidens betydning for sanksjonsspørsmålet. Nemnda viser til PVN-2021-03 med videre henvisning til Sivilombudets (tidligere Sivilombudsmannens) avgjørelse 17. august 2012 i sak 2011/2718 og NOU 2003:15 «Fra bot til bedring» pkt. 5.7.11 (side 102). Dette er ikke gjort i denne saken.
Etter nemndas vurdering har den samlede saksbehandlingstiden hos tilsynet vært uakseptabelt lang, med tanke på at saken verken faktisk eller rettslig er særlig kompleks. Den personen eller det foretaket som risikerer å bli møtt med straffesanksjoner eller sanksjoner som kan likestilles med straff, har en beskyttelsesverdig interesse i å få avklart dette spørsmålet innen rimelig tid, og forvaltningsorganet plikter – med de ressurser som er stilt til rådighet – å innrette sin virksomhet på en slik måte at denne interessen ivaretas.
Etter en samlet vurdering har Personvernnemnda kommet til at overtredelsesgebyret bør falle bort på grunn av den lange saksbehandlingstiden.
Coop får etter dette medhold i sin klage ved at det ilagte gebyret bortfaller.
Konklusjon
Datatilsynets vedtak om ileggelse av gebyr omgjøres ved at gebyret bortfaller.
Vedtaket er enstemmig.
Oslo, 31. august 2021
Mari Bø Haugstad
Leder