Personvernnemndas vedtak 28. september 2021 (Mari Bø Haugstad, Bjørnar Borvik, Line Coll, Hans Marius Graasvold, Heidi Talsethagen, Hans Marius Tessem, Morten Goodwin)
Saken gjelder klage fra A på Datatilsynets vedtak 27. januar 2021 om at det ikke var sannsynliggjort uautorisert innsyn i personopplysninger på arbeidsplassen.
Sakens bakgrunn
A kontaktet Datatilsynet 22. september 2019 fordi han mente at hans tidligere arbeidsgiver, X kommune hadde foretatt uberettiget innsyn i hans slettede datafiler og personlige område i november 2017. Han purret på henvendelsen 8. april 2020.
Datatilsynet stilte X kommune flere spørsmål i brev 24. juni 2020. Kommunens rådmann redegjorde i brev til tilsynet 27. juli 2020. Etter ytterligere saksforberedelse konkluderte Datatilsynet 27. januar 2021 at det ikke var sannsynliggjort noe brudd på personopplysningsloven og avsluttet deretter saken.
A framsatte rettidig klage over Datatilsynets vedtak 8. februar 2021. Datatilsynet vurderte klagen, men fant ikke grunn til å endre sitt vedtak. Saken ble oversendt Personvernnemnda 13. juli 2021. A og X kommune ble orientert om saken i brev fra nemnda 26. juli 2021, og fikk anledning til å komme med kommentarer. A har i e-post 1. september 2021 gitt sine kommentarer.
Saken ble behandlet i nemndas møte 28. september 2021. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Line Coll, Hans Marius Graasvold, Heidi Talsethagen, Hans Marius Tessem og Morten Goodwin. Sekretariatsleder Anette Klem Funderud var også til stede.
Datatilsynets vurdering i korte trekk
Datatilsynet redegjør innledningsvis for at det er loven på avgjørelsestidspunktet som skal legges til grunn i denne saken, jf. personopplysningsloven § 33 og viser til reglene i personvernforordningen samt forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale (e-postforskriften, FOR-2018-07-02-1108), gitt med hjemmel i arbeidsmiljøloven § 9-5.
Datatilsynet viser deretter til at faktum er omtvistet, og redegjør for det faktumet som tilsynet etter en helhetsvurdering mener framstår mest sannsynlig. Datatilsynet konkluderer med at det ikke er sannsynliggjort at det ble gjennomført et innsyn i klagers slettede filer og personlige område 30. november 2017.
Datatilsynet drøfter betydningen av de framlagte skjermklippene med de aktuelle filene. Datatilsynet peker på at skjermklippene underbygger As framstilling av faktum, da filegenskapene ser ut slik en ville forventet dersom filene var gjenopprettet fra backup slik A anfører. Ettersom all form for kopiering av dokumenter vil tilføre dokumentkopiene egenskaper som tilsvarer de som klager viser til, er det etter tilsynets vurdering likevel begrenset hva skjermbildet som klager har lagt ved beviser.
Datatilsynet viser til at X kommune i sine kommentarer til varslet opplyste at de ikke lagrer noen sentral backup av ansattes skrivebord eller papirkurv, slik at dokumenter lagret der ikke kan gjenopprettes.
På denne bakgrunn konkluderer Datatilsynet med at personvernregelverket ikke er brutt, og avslutter saken.
As syn på saken i korte trekk
Hans tidligere arbeidsgiver, X kommune, gjennomførte ulovlig uberettiget innsyn i hans slettede filer ved at disse var gjenopprettet fra systembackup og åpnet 30. november 2017. Dette har han dokumentert ved sin oversendelse til Datatilsynet.
Rådmannen forteller usannheter til Datatilsynet og de folkevalgte. Først ble gjenopprettelsen av filene anerkjent og forsøkt bortforklart med at dokumentene var gjenopprettet ved en systemoppdatering/gjenoppretting. Rådmannen endret deretter forklaring flere ganger og kommer til slutt med en påstand om at klager selv har kopiert inn filene. Dette er usannheter og grove påstander. Han stiller spørsmål ved hva som er grunnen til at dette ikke kom fram allerede første gang IT-avdelingen ble konfrontert med fakta og klaget inn for Datatilsynet.
Kommunens syn på saken i korte trekk
Kommunen har gjennom sine undersøkelser og vurderinger sannsynliggjort at arbeidsgiver ikke har gjennomført noe innsyn i As personlige område. Ingen filer er gjenopprettet fra backup til hans private filområde med formål om å gjøre innsyn.
Kommunen lagrer ingen sentral backup av ansattes skrivebord eller papirkurv, og dokumenter som er lagret der kan ikke gjenopprettes.
Kommunen har i forbindelse med denne saken foretatt en ekstern og uavhengig ekspertvurdering fra CloudWay AS 30. desember 2020 av påstandene og problemstillingene i denne saken om gjenoppretting av og innsyn i personlige opplysninger på arbeidsplassen. Kommunen oversendte skjermklippene til CloudWay AS i anonymisert form. I sluttvurderingen fra CloudWay AS uttales det blant annet:
«Ettersom alle filene har samme tidspunkt, men noe forskjellige attributter, er det etter min mening mest nærliggende at filene er kopiert inn på brukers desktop enten fra en annen lokal mappe eller ekstern lagring. Ikke hentet fra backup eller papirkurv. De filene som er 'fra en annen datamaskin' er trolig hentet ned på et tidligere tidspunkt for der deretter å bli kopiert inn på skrivebordet samtidig med de andre filene. Filer som i utgangspunktet er opprettet på en datamaskin for deretter å bli tatt backup av vil ikke, ved en gjenoppretting, få attributter som sier 'fra en annen datamaskin'.
[…]
Dersom IT faktisk hadde sentral backup av disse filene, noe dem ikke hadde, ville det også vært både lettere og mer hensiktsmessig å hente filene fra sentral backup direkte uten å gjenopprette disse tilbake på brukers skrivebord».
Personvernnemndas vurdering
Innsyn i en ansatts personlige område på datamaskinen og gjenoppretting av filer på personlig område representerer behandling av personopplysninger og reguleres av personopplysningsloven, samt arbeidsmiljøloven § 9-5 og forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale (forskrift 2018-07-02-1108). I 2017, da den aktuelle hendelsen fant sted gjaldt personopplysingsloven 2000. Med nemndas vurdering av hvilket faktum som er tilstrekkelig sannsynliggjort, er det ikke nødvendig for nemnda å gå inn på lovvalgspørsmålet.
Ved eventuelt brudd på personopplysningsloven og arbeidsmiljøloven § 9-5 med forskrifter, kan Datatilsynet ilegge overtredelsesgebyr. Overtredelsesgebyr er å anse som en administrativ sanksjon som har karakter av straff etter EMK artikkel 6. Av hensyn til den som risikerer å bli møtt med en slik administrativ sanksjon følger det av rettspraksis et krav om klar sannsynlighetsovervekt for at skyldkravet er oppfylt, jf. Rt-2008-1409 og Rt-2012-1556. Det betyr i praksis at det er det faktumet som arbeidsgiver selv beskriver som skal legges til grunn, med mindre det foreligger klare holdepunkter i de framlagte bevisene for at det forholder seg på en annen måte. Det betyr også at der det er usikkerhet om faktum, skal det faktumet som er gunstigst for arbeidsgiver legges til grunn.
Arbeidsgiver (behandlingsansvarlig) og arbeidstaker (den registrerte) er uenige om hva som er riktig faktum i saken. Ut fra de bevisene som er framlagt er nemnda enig med Datatilsynet i at det ikke er tilstrekkelig sannsynliggjort at arbeidsgiver foretok et innsyn i As slettede filer og personlige område 30. november 2017.
Nemnda har ved denne bevisvurderingen lagt vekt på følgende forhold:
Alle filer på en harddisk har filegenskaper som inkluderer tidspunktet filen sist ble endret (endret-tidspunkt), og tidspunkt filen første gang er opprettet (opprettet-tidspunkt). Både endret-tidspunkt eller opprettet-tidspunkt kan manipuleres, og opprettet-tidspunktet kan både representere når filen først ble opprettet, men kan også være når filen ble kopiert inn eller gjenopprettet fra backup. Skjermklippene viser at det er en rekke filer hvor opprettet-tidspunktet er etter endret-tidspunktet. Filen "Bruker ID" har for eksempel opprettet-tidspunkt torsdag 30. november 2017 kl. 13:45:58, og endret-tidspunkt 27. juli 2017 14:33:06.
Det kan være flere mulige forklaringer på hvorfor opprettet-tidspunktet er etter endret-tidspunktet. Uansett er det etter nemndas vurdering ikke tilstrekkelig sannsynliggjort at filen «Bruker ID» har blitt gjenopprettet fra backup. Det er ikke slik at opprettet-tidspunktet er ensbetydende med gjenopprettingstidspunktet, slik A anfører. Man kan slik nemnda ser det ikke på bakgrunn av de framlagte skjermklippene konkludere med at filene er gjenopprettet fra backup.
Med de bevisene som foreligger, er det ingen grunn til å betvile X kommune når de hevder at kommunen ikke tar backup av skrivebordet, og følgelig ikke kan få innsyn i filer som er slettet fra skrivebordet. Dette inkluderer filen «Bruker ID».
Nemnda er etter dette enig med Datatilsynet i deres vurdering. Det er ikke tilstrekkelig sannsynliggjort at det er foretatt uautorisert innsyn i personopplysninger på arbeidsplassen.
A får ikke medhold i sin klage.
Vedtaket er enstemmig
Konklusjon
Datatilsynets vedtak om å avslutte saken uten å gi pålegg eller konstatere brudd på personopplysningsloven opprettholdes.
Oslo, 28. september 2021
Mari Bø Haugstad
Leder