Personvernnemndas vedtak 15. februar 2022 (Mari Bø Haugstad, Bjørnar Borvik, Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin)
Saken gjelder klage fra en X AS på Datatilsynets vedtak 14. juli 2021 der tilsynet ila selskapet et overtredelsesgebyr på 100 000 kroner for å ha kameraovervåket virksomhetens lokaler uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav a og f, for mangelfull informasjon til ansatte og kunder, jf. artikkel 12 nr. 1 og 13, og for brudd på prinsippene om åpenhet og dataminimering, jf. artikkel 5 nr. 1 bokstav a og c.
Sakens bakgrunn
Virksomheten denne saken gjelder tilbyr sine kunder blant annet voksing, ansiktsbehandling og farging av vipper og bryn. Et sanntidsmonitorert kamera (ikke fastmontert) ble satt opp i virksomhetens lokaler i begynnelsen av 2019. Kameraet var i bruk fram til begynnelsen av august samme år.
På vegne av tre av fire tidligere ansatte i virksomheten klaget Fagforbundet helse, sosial og velferd selskapet inn for Datatilsynet 26. august 2019 og varslet om det de mente var ulovlig kameraovervåking.
Datatilsynet ba X AS om å redegjøre for saken 28. november 2019. Etter å ha fått utsatt frist, sendte virksomheten en redegjørelse til tilsynet 10. januar 2020.
Fagforbundet sendte tilleggsopplysninger til Datatilsynet 27. januar 2020, herunder en rapport fra LOs sommerpatrulje som besøkte virksomheten 1. juli 2019, en e-post 27. januar 2020 fra en ungdomstillitsvalgt som var til stede under dette besøket, og en e-post som en tidligere ansatt i virksomheten sendte til Datatilsynet 28. februar 2019, med spørsmål om kameraovervåkingen på sin arbeidsplass.
Datatilsynet ba X AS 6. mars 2020 om en ytterligere redegjørelse knyttet til hvorvidt kameraovervåkingen var varslet med skilt, hvor skiltene eventuelt var plassert og hvilken informasjon som framgikk. Virksomheten ble også anmodet om å framlegge dokumentasjon, og redegjorde for saken i brev 16. mars 2020.
Datatilsynet varslet X AS 28. september 2020 om ileggelse av et overtredelsesgebyr på 150 000 kroner for å ha behandlet personopplysninger i strid med personvernforordningen artikkel 5 nr. 1 bokstav a og c, artikkel 6, artikkel 12 nr. 1 og artikkel 13. Tilsynet ba i varselet om dokumentasjon dersom virksomheten opplevde svekket økonomi i forbindelse med koronapandemien.
Salongen ga sin uttalelse til varselet i brev 23. oktober 2020 og opplyste at virksomheten slet med underskudd grunnet pandemien. Datatilsynet ba i brev 12. februar 2021 om dokumentasjon for virksomhetens svekkede økonomiske situasjon, og mottok slik dokumentasjon 13. mars 2021.
Datatilsynet fattet følgende vedtak om overtredelsesgebyr 14. juli 2021:
«Med hjemmel i personopplysningsloven § 1, jf. personvernforordningen artikkel 58 nr. 2 bokstav i, jf. artikkel 83, pålegges […], org.nr. […], å betale et overtredelsesgebyr til statskassen på 100 000 – ett hundre tusen – kroner for å ha behandlet personopplysninger i strid med personvernforordningen artikkel 5 nr. 1 bokstav a og c, 6, 12 nr. 1 og 13.»
Bakgrunnen for reduksjonen av gebyrets størrelse var virksomhetens vanskelige økonomiske situasjon som følge av koronapandemien.
Etter å ha blitt innvilget utsatt klagefrist, klaget virksomheten rettidig på Datatilsynets vedtak 20. august 2021.
Datatilsynet innhentet Fagforbundets syn på klagen, som ga sine merknader 24. september 2021.Fagforbundets merknader gjelder kun overtredelsesgebyrets størrelse og Datatilsynet opplyser at disse ikke er vektlagt av Datatilsynet idet utmålingen av gebyrets størrelse ikke er en avgjørelse som retter seg mot Fagforbundet, jf. forvaltningsloven § 2 bokstav e.
Datatilsynet vurderte klagen og la til grunn at klagen gjaldt overtredelsesgebyrets størrelse. Tilsynet opprettholdt sin vurdering og oversendte saken til Personvernnemnda 20. desember 2021. Salongen og Fagforbundet ble orientert om saken i brev fra nemnda 21. desember 2021 og fikk anledning til å komme med kommentarer. Det er ikke innkommet ytterligere kommentarer.
Saken ble behandlet i nemndas møte 15. februar 2022. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem og Morten Goodwin. Sekretariatsleder Anette Klem Funderud var også til stede.
Datatilsynets vedtak i korte trekk
Den aktuelle kameraovervåkingen omfattes av personvernforordningen og personopplysningsloven.
X AS har, som behandlingsansvarlig, ansvar for å påvise at kameraovervåkingen skjedde i samsvar med personvernforordningen, jf. artikkel 5 nr. 2 og artikkel 24 nr. 1. Selskapet har ikke framlagt dokumentasjon som viser at anskaffelsen av utstyret var drøftet med de ansatte, eller at anskaffelsen skjedde etter ønske fra de ansatte.
Vurdering av behandlingsgrunnlag
Datatilsynet påpeker at det er uklart hvilket rettslig grunnlag for kameraovervåkingen virksomheten påberoper seg, men legger til grunn at selskapet påberoper seg personvernforordningen artikkel 6 nr. 1 bokstav a (samtykke) og artikkel 6 nr. 1 bokstav f (berettiget interesse).
Datatilsynet konkluderer med at kameraovervåkingen ikke hadde rettslig grunnlag i artikkel 6 nr. 1 bokstav a. Det er for det første problematisk å påberope seg samtykke i arbeidsforhold på grunn av maktforholdet, jf. Personvernrådets retningslinjer «Guidelines 05/2020 on consent under Regulation 2016/679» vedtatt 4. mai 2020, punkt 2.1. For det andre mener tilsynet at det i denne saken ikke foreligger et gyldig samtykke om kameraovervåking fra de ansatte i virksomheten, jf. personvernforordningen artikkel 4 nr. 11, da samtykket verken er frivillig, informert eller dokumentert, jf. artikkel 7 nr. 1 og nr. 4 og forordningens fortalepunkt 32 og 42.
Deretter drøfter Datatilsynet personvernforordningen artikkel 6 nr. 1 bokstav f (berettiget interesse) som mulig rettslig grunnlag. Vurderingen er om kameraovervåkingen er «nødvendig» for formål knyttet til «berettigede interesser» som går foran de registrertes interesser.
Datatilsynet påpeker at måten kameraet var innrettet på (plasseringen og dets vidvinkel på 130 grader) ikke var nødvendig for å ivareta ansatte eller kunders sikkerhet. Kameraovervåking av inngangspartiet ville vært mindre inngripende for de ansatte og tilstrekkelig for å oppnå formålet. Kameraovervåking utenom åpningstiden ville vært tilstrekkelig for å hindre eller forebygge innbrudd.
Lydopptakerfunksjonen kameraet var utstyrt med var ikke nødvendig for å oppnå formålet med kameraovervåkingen, og heller ikke sanntidsmonitorering med fjerntilgang. Lydopptak er en svært inngripende form for overvåking, særlig når det foregår skjult lydopptak som det ikke er varslet om. Sanntidsmonitorering med fjerntilgang er inngripende tiltak, og det skal særlig gode grunner til for at slike tiltak er lovlige. Sanntidsmonitorering og lagring av opptakene var heller ikke nødvendig eller i tråd med dataminimeringsprinsippet.
Selv om nødvendighetskravet skulle være oppfylt mener Datatilsynet at de ansattes interesser uansett går foran virksomhetens interesser, og konkluderer med at kameraovervåkingen ikke har behandlingsgrunnlag i artikkel 6 nr. 1 bokstav f.
Tilsynet legger videre til grunn at når det gjelder overvåkingen av kunder, så må et besøk på en voksesalong anses som et privat ærend. Dette innebærer at kunder må kunne forvente at de ikke overvåkes.
Tilsynet konkluderer med at tiltaket innebærer en ulovlig behandling av personopplysninger, jf. artikkel 6 nr. 1, lovlighetsprinsippet i artikkel 5 nr. 1 bokstav a og prinsippet om dataminimering i artikkel 5 nr. 1 bokstav c.
Åpenhet, informasjon og dataminimering
Datatilsynet legger til grunn at virksomheten ikke har gitt tilstrekkelig informasjon om overvåkingen, til de ansatte eller til kunder, i form av skilting. Kameraet var en periode merket med et lite klistremerke på inngangsdøren, som daglig leder i juli 2019 oppdaget var fjernet. Et klistremerke med ordlyden «Arlo, video monitoring in progress. You may not see arlo but arlo sees you, netgear», oppfyller uansett ikke kravene til informasjon i personvernforordningen artikkel 12 og 13. Det gir ikke informasjon om formålet med overvåkingen eller lydopptak, hvem den behandlingsansvarlige er, at de registrerte har rettigheter eller opplysninger om deres rettigheter. Klistremerket inneholder heller ikke informasjon om hvor kunder og ansatte kan finne mer informasjon, som Personvernrådet har konstatert at skal framkomme av skilt som varsler kameraovervåking, jf. «Guidelines 3/2019 on processing of personal data through video devices», vedtatt 29. januar 2020, punkt 7.1.2.
Datatilsynet fester ikke lit til virksomhetens forklaring om at tiltaket var avklart med ansatte i forkant og viser til rapporten fra LOs sommerpatrulje og e-post fra ungdomstillitsvalgt som også var til stede. Videre vises det til at det uansett er virksomheten, som behandlingsansvarlig, som skal godtgjøre at behandlingen skjer i tråd med personvernregelverket, jf. personvernforordningen artikkel 5 nr. 2 og artikkel 24 nr. 1.
Oppsummert har virksomheten ikke overholdt sin informasjonsplikt, noe som innebærer et brudd på personvernforordningen artikkel 12 nr. 1 og artikkel 13.
Avslutningsvis påpekes at kameraets plassering og dets vidvinkel på 130 grader, lydopptakerfunksjonen og fjerntilgangen til daglig leders mobiltelefon, ikke var nødvendig eller adekvat for å oppnå formålet og er i strid med prinsippet om dataminimering, jf. artikkel 5 nr. 1 bokstav c.
Overtredelsesgebyr
Ved vurderingen av om det skal ilegges gebyr og ved utmålingen tar Datatilsynet utgangspunkt i de relevante momentene i personvernforordningen artikkel 83 nr. 2 bokstav a til k.
Under henvisning til artikkel 83 nr. 2 bokstav a «Karakteren, alvorlighetsgraden og varigheten av overtredelsen […]» viser Datatilsynet til at overtredelsen bryter med grunnleggende krav til lovlighet, åpenhet og dataminimering, jf. personvernforordningen artikkel 5 og 6. Tilsynet mener det ble innsamlet betydelig mer materiale, på en langt mer inngripende måte enn det som var nødvendig for formålet. Tilsynet legger særlig vekt på at kameraet hadde en vinkellinse som fanget opp 130 grader, kameraets vinkling ut mot resepsjonsområde og området inn mot behandlingsrommet, lydopptakerfunksjonen, fjerntilgangen gjennom en app på daglig leders mobiltelefon, at det ikke var begrensninger i tidsrommet kameraet var påslått og at kameraovervåkingen foregikk hele døgnet med bevegelsessensor.
Kameraovervåking på arbeidsplassen er en inngripende form for overvåking. Uavhengig av om kameraovervåkingen foregikk i sju til åtte måneder slik Fagforbundet hevder, eller i fem til seks måneder slik virksomheten hevder, er det en lang periode for ansatte å bli overvåket i arbeidstiden og belastningen for de ansatte er stor. Følelsen av å bli overvåket via bildeopptak sammenholdt med at daglig leder til enhver tid hadde mulighet til å gjennomføre lydopptak og følge med på de ansatte via sin telefon, trekker i skjerpende retning.
Etter personvernforordningen artikkel 83 nr. 2 bokstav b skal det legges vekt på «hvorvidt overtredelsen ble begått forsettlig eller uaktsomt». I vedtaket har Datatilsynet lagt til grunn at det ikke oppstilles noe krav om subjektiv skyld hos den som handler på vegne av selskapet. I oversendelsesbrevet til nemnda 15. desember 2021 har tilsynet foretatt en ny vurdering av dette punktet i tråd med Høyesteretts standpunkt i HR-2021-797-A. Tilsynet konkluderer med at daglig leder i salongen, som opptrådte på vegne av virksomheten, i dette tilfellet har handlet forsettlig og at skyldkravet dermed er oppfylt. Dette trekker i skjerpende retning.
Under henvisning til artikkel 83 nr. 2 bokstav f «graden av samarbeid med tilsynsmyndigheten for å bøte på overtredelsen og redusere de mulige negative virkningene av den», legger tilsynet til grunn i formildende retning at virksomheten har bidratt til sakens opplysning. Samtidig påpeker tilsynet at virksomheten fastholder at de hadde behandlingsgrunnlag for kameraovervåkingen og at det var gitt tilstrekkelig informasjon om overvåkingen.
Datatilsynet legger videre til grunn at særlige kategorier av personopplysninger (sensitive personopplysninger) ikke er berørt i denne saken, jf. artikkel 83 nr. 2 bokstav g. Konteksten som den aktuelle overvåkingen har skjedd i, som er av privat karakter for kundene, trekker imidlertid i skjerpende retning.
Datatilsynet viser til at tilsynet ble underrettet om overtredelsen av Fagforbundet som organiserte tre av fire ansatte i virksomheten og at salongen ikke selv underrettet tilsynet om overtredelsen, jf. artikkel 83 nr. 2 bokstav h.
Under henvisning til artikkel 83 nr. 2 bokstav k «enhver annen skjerpende eller formildende faktor ved saken» finner Datatilsynet det skjerpende at årsaken til at kameraet ble tatt ned den tredje uka i august 2019 var at kameraet sluttet å virke og at virksomheten dermed ikke tok et aktivt valg om å avbryte kameraovervåkingen.
På bakgrunn av gjennomgangen av disse momentene kom Datatilsynet til at overtredelsesgebyr bør ilegges, jf. personvernforordningen artikkel 83 nr. 2 og nr. 5 bokstav a.
Ved utmålingen av gebyrets størrelse viser Datatilsynet til at det skal legges vekt på de samme vurderingsmomentene som er gjennomgått ovenfor. Tilsynet viser derfor til disse vurderingene.
Det følger av personvernforordningen artikkel 83 nr. 1 at overtredelsesgebyr skal fastsettes konkret slik at det i hvert enkelt tilfelle er virkningsfullt, står i et rimelig forhold til overtredelsen og virker avskrekkende.
Datatilsynet viser til at saken gjelder mangel på behandlingsgrunnlag (lovlighetsprinsippet) i artikkel 6 og brudd på prinsippene åpenhet og rettferdighet og dataminimering i artikkel 5 nr. 1 For disse overtredelsene skal det ilegges overtredelsesgebyr i øverste sjiktet på opptil 4 % av den globale årsomsetningen i det forutgående regnskapsår, jf. artikkel 83 nr. 5. Tilsynet viser videre til at overtredelsen er alvorlig, herunder at kameraovervåkingen fant sted på arbeidsplassen med stor belastning for de ansatte og besøkende.
Virksomheten har framlagt dokumentasjon som viser at årsomsetningen i 2020 var på 2 596 000 kroner, i motsetning til i 2019 da det var kr 4 410 000. Etter tilsynets vurdering er dette en nedgang av betydning som tillegges vekt ved utmåling av gebyrets størrelse. Tilsynet viser likevel til at virksomheten ifølge offentlige tilgjengelige dokumenter fortsatt er registrert med god likviditet og meget god soliditet i 2020, til tross for nedgang i omsetningen.
Etter å ha hensyntatt overtredelsenes alvorlighet og virksomhetens økonomiske situasjon setter Datatilsynet det endelige gebyret til 100 000 kroner. Det varslede gebyret på 150 000 kroner ble dermed redusert med ca. 33,33% under henvisning til selskapets økonomiske situasjon. Tilsynet anser at et gebyr på 100 000 kroner er tilstrekkelig virkningsfullt, står i et rimelig forhold til overtredelsen og virker avskrekkende, jf. personvernforordningen artikkel 83 nr. 1. Tilsynet påpeker at gebyret er i det nederste sjiktet av hva forordningen foreskriver.
Ved oversendelse av saken til nemnda gir Datatilsynet en vurdering av saksbehandlingstidens betydning for fastsettelsen av gebyret, jf. artikkel 83 nr. 2 bokstav k. Datatilsynet legger avgjørende vekt på at det ikke har vært lange perioder med inaktivitet i saken, og finner ikke grunnlag til å sette ned overtredelsesgebyrets størrelse på grunn av saksbehandlingstiden.
X AS’ syn på saken i korte trekk
X AS ber om at overtredelsesgebyret bortfaller eller reduseres vesentlig.
Virksomhetens økonomiske situasjon er kritisk. Omsetningen gikk ned med over én million kroner fra 2018 til 2019. Fra et lite overskudd i driftsresultatet for 2018 viste regnskapene i 2019 et underskudd på over 363 000 kroner. Omsetningen er ytterligere redusert fra 2019 til 2020 med nesten to millioner kroner, noe pandemien har medvirket til. Driftsresultatet ser ut til å bli et underskudd på 972 000 kroner. Faste utgifter må fremdeles dekkes samtidig som kundegrunnlaget stadig blir mindre. Selskapets bankkonti er i ferd med å tømmes.
Det vises til dokumentasjonen selskapet har framlagt for Datatilsynet i brev 17. august 2021, herunder en oversikt over månedlige utgifter inkludert virksomhetens fakturaer i august 2021. Selskapet opplyser at de faste månedlige utgiftene utgjør 136 480 kroner, som sammen med daglig leders lønn, sluttoppgjør for ansatt i 100% stilling, advokatutgifter og NHO-medlemskap utgjør 307 405 kroner i august 2021. Virksomheten har også vedlagt kontoutskrift for inneværende saldo på virksomhetens bedriftskonto 19. august 2021. Denne viser at bokført saldo var kroner 231 862 kroner.
Personvernnemndas vurdering
Spørsmålet for nemnda er om det etter personvernforordningen artikkel 83 nr. 5, jf. artikkel 83 nr. 2 skal ilegges et overtredelsesgebyr for den ulovlige kameraovervåkingen, og dersom det skal ilegges gebyr, hvor stort gebyret skal være.
Det framkommer av saksdokumentene at X AS og Fagforbundet er noe uenige om faktum i saken. Selv om saken for nemnda gjelder hvorvidt det skal ilegges gebyr og eventuelt utmålingen av gebyrets størrelse, må nemnda ta stilling til faktum. Dette skyldes at blant annet karakteren, alvorlighetsgraden og varigheten av overtredelsen vil være sentrale momenter for vurderingen av om overtredelsesgebyr skal ilegges og eventuelt utmålingen av gebyret, jf. personvernforordningen artikkel 83.
Overtredelsesgebyr etter personopplysningsloven er å anse som en administrativ sanksjon som har karakter av straff etter EMK artikkel 6. Etter rettspraksis stilles det da krav om klar sannsynlighetsovervekt for at skyldkravet er oppfylt, både i subjektivt og objektivt henseende, jf. Rt-2008-1409 og Rt-2012-1556. Det betyr i praksis at det er det faktumet som virksomheten selv beskriver som skal legges til grunn, med mindre det foreligger klare holdepunkter i de foreliggende bevisene for at det forholder seg på en annen måte. Det er med andre ord ikke tilstrekkelig med sannsynlighetsovervekt for å legge et annet faktum til grunn enn det selskapet selv forklarer, med mindre overvekten er «klart» mer enn 50 %. Det betyr også at der det er usikkerhet om faktum, skal det faktumet som er mest gunstig for selskapet legges til grunn.
Sakens faktiske forhold
I det følgende beskrives det faktumet Personvernnemnda legger til grunn for sitt vedtak. Deretter gis en redegjørelse for nemndas bevisvurdering.
Det er på det rene at selskapet i 2019 anskaffet et overvåkingskamera som ble satt opp i virksomhetens lokaler. Kameraet som ble brukt var et Arlo Q VMC3040-100NAS 1080P HD Wireless, Security Camera with Audio. Kameraet var aktivt hele døgnet ogvar plassert i resepsjonen på toppen av et to meter høyt skap. Kameraet hadde innbygget mikrofon og høyttaler, bevegelsessensor, full HD-oppløsning og 130-graders synsvinkel. Kameraet dekket inngangspartiet og resepsjonsområdet i salongen, ikke behandlingsrommene og de ansattes lunsjrom. Opptakene ble lagret i nettskyen hvor opptakene var tilgjengelig i en egen app i sju dager, for deretter å bli automatisk slettet.Kun daglig leder hadde fjerntilgang til opptakene via appen på sin mobiltelefon.
Virksomheten har opplyst at formålet med kameraovervåkingen var å ivareta ansatte og kunders trygghet. Nemnda legger til grunn at kameraet i tillegg ble brukt til å overvåke de ansatte, og at anskaffelsen av overvåkingsutstyret ikke var drøftet med de ansatte i forkant. Utstyret hadde lydfunksjon og de som var til stede i resepsjonslokalet kunne ikke se på utstyret om mikrofonen var på eller ikke. Nemnda legger imidlertid til grunn opplysningene fra virksomheten om at lydfunksjonen på kameraet ikke ble benyttet.
Det var på ytterdøren til virksomheten festet et klistremerke fra kameraleverandøren Arlo. Klistremerket på ca. 6 x 6 cm var transparent og viste både innenfra og utenfra et grønt/hvitt bilde av en fugl med et Wi-fi-tegn istedenfor vinger hvor det står: «Arlo, video monitoring in progress. You may not see Arlo but Arlo sees you, netgear». Klistremerket ble fjernet en gang i løpet av sommeren 2019.
Kameraet ble montert i månedsskiftet februar/mars 2019 og ble fjernet tredje uka i august samme år. På dette tidspunktet hadde kameraet sluttet på virke.
Faktum som det foreligger uenighet om er først og fremst hvorvidt anskaffelsen av utstyret var drøftet med de ansatte i forkant, om det var innhentet samtykke fra de ansatte, eventuelt om anskaffelsen skjedde på oppfordring fra de ansatte, samt om kameraopptaket også ble benyttet til kontrollformål.
Nemndas vurdering av at kameraovervåkingen også ble benyttet til kontrollformål er begrunnet i de ansattes forklaringer til LOs sommerpatrulje den sommeren kameraovervåkingen pågikk. De ansatte opplyste til sommerpatruljen at de opplevde at daglig leder satt hjemme og fulgte med på kameraopptaket (direkte overføring) fra salongen, når hun selv ikke var til stede i lokalet. Hun fulgte med på hvor lang tid de brukte på kunder og de ansatte opplevde å bli oppringt av daglig leder og for eksempel få beskjed om at de hadde brukt for lang tid på den kunden de nettopp hadde ekspedert. Nemnda viser også til at dersom det eneste formålet var å ivareta de ansatte og kundenes trygghet, burde skilting og informasjon til de som besøkte lokalene – også av preventive grunner – vært langt tydeligere.
Nemnda legger, i likhet med Datatilsynet, til grunn at det iverksatte kontrolltiltaket ikke var drøftet med de ansatte i forkant. Nemnda viser til at virksomheten ikke har dokumentert at slike drøftelser har funnet sted, samt til forklaringene fra tidligere ansatte.
Ileggelse av overtredelsesgebyr
Ved behandling av personopplysninger i strid med personvernforordningen artikkel 6 og 5, 12 og 13, som denne saken gjelder, kan tilsynsmyndigheten etter artikkel 58 nr. 2 bokstav i, jf. artikkel 83 nr. 5, jf. artikkel 83 nr. 2 ilegge den behandlingsansvarlige et overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløp anvendes.
Det følger av artikkel 83 nr. 1 at tilsynsmyndigheten ved sin vurdering skal sikre at ileggelse av overtredelsesgebyr er virkningsfullt, står i et rimelig forhold til overtredelsen og virker avskrekkende. Både ved vurderingen av om det skal ilegges gebyr og ved utmålingen av gebyret, skal det i hvert enkelt tilfelle tas hensyn til momentene i personvernforordningen artikkel 83 nr. 2 bokstavene a til k.
Kontinuerlig overvåking av en arbeidsplass er svært inngripende for de ansatte. Virksomhetens mangelfulle skilting og informasjon til kundene medfører også et inngrep i kundenes personvern og gir de registrerte svært begrensede forutsetninger for å kunne ivareta sine rettigheter etter personvernforordningen kapittel III. Etter nemndas vurdering representerer den ulovlige kameraovervåkingen i dette tilfellet, og særlig den kontinuerlige overvåkingen av de ansatte, et alvorlig brudd på personvernforordningen.
Nemnda har i PVN-2021-13, som gjaldt ulovlig kameraovervåking av et restaurantlokale, uttalt at det ved vurderingen av hvor alvorlig overtredelsen skal anses må ses hen til at bestemmelsen i personvernforordningen artikkel 6 nr. 1 bokstav f, er en skjønnsmessig regel hvor ulike interesser skal veies mot hverandre. At man som behandlingsansvarlig konkluderer annerledes enn personvernmyndighetene i denne interesseavveiningen, medfører ikke nødvendigvis i seg selv en alvorlig overtredelse. I denne saken er imidlertid overtredelsen alvorlig siden det er iverksatt en overvåking med et klart formål om å kontrollere de ansatte uten å ha en berettiget interesse for dette. Arbeidsmiljølovens regler om iverksettelse av slikt tiltak er heller ikke fulgt.
Nemnda er derfor enig med Datatilsynet i at det dreier seg om alvorlige og kritikkverdige handlinger som det er grunn til å sanksjonere. Den kritikkverdige framgangsmåten tillegges vekt i skjerpende retning ved utmåling av gebyrets størrelse.
Det er ingen tvil om at den ulovlige kameraovervåkingen og mangelfulle skiltingen om dette, representer forsettlige handlinger begått av daglig leder på vegne av selskapet. Manglende kjennskap til reglene fritar ikke for ansvar med mindre villfarelsen er aktsom. Det var den ikke. Skyldkravet, som også gjelder for foretaksansvar, jf. HR-2021-797-A, er dermed oppfylt.
Nemnda legger i skjerpende retning vekt på at selskapet manglet tekniske og organisatoriske tiltak for etterlevelse av personvernregelverket (ansvarlighetsprinsippet i personvernforordningen artikkel 24).
For brudd på de grunnleggende prinsippene for behandling (herunder artikkel 5 og 6 som er aktuelle for denne saken) kan tilsynsmyndigheten ilegge gebyr på opptil 20 000 000 euro, eller dersom det er et foretak, opptil 4 % av årsomsetningen forutgående regnskapsår, jf. artikkel 83 nr. 5. Det følger av bestemmelsen at det er det høyeste tallet av de to alternativene som skal anvendes som grense. Det følger videre av artikkel 83 nr. 3 at dersom den behandlingsansvarlige overtrer flere av bestemmelsene skal overtredelsesgebyrets samlede beløp ikke være høyere enn beløpet angitt for den alvorligste overtredelsen. Nemnda understreker at bruk av betydelige overtredelsesgebyr er et viktig virkemiddel i et system som tillegger den behandlingsansvarlige et stort selvstendig ansvar.
Årsomsetningen til selskapet i 2019 var på 4 410 000 kroner, mens den i 2020 var på 2 596 000 kroner. Datatilsynet har hensyntatt nedgangen i årsomsetningen og har satt gebyret til 100 000 kroner, som utgjør 3,85% av årsomsetningen i 2020. I PVN-2021-13 la nemnda til grunn at gebyret burde ligge rundt 100 000 kroner for en overtredelse som ikke ble vurdert som alvorlig, hvor selskapet hadde en høyere årsomsetning. Overtredelsens alvor i foreliggende sak tilsier at gebyret i utgangspunktet bør settes høyere selv om årsomsetningen her er klart lavere. Forvaltningsloven § 34 begrenser nemndas mulighet til å endre vedtaket til skade for klageren. Gebyret settes etter dette til 100 000 kroner i tråd med Datatilsynets vedtak, jf. personvernforordningen artikkel 83. At saksbehandlingstiden har vært lang er da også tilstrekkelig hensyntatt. Datatilsynet har vist til at det ikke har vært lange perioder med inaktivitet, men nemnda vil bemerke at dette ikke alene er avgjørende. Også den samlede saksbehandlingstiden må tas med i vurderingen. Nemnda mener at saksbehandlingstiden her på 2 ½ år er for lang, sett hen til sakens mangel på kompleksitet.
X AS får etter dette ikke medhold i klagen.
Konklusjon
Datatilsynets vedtak om å ilegge X AS et overtredelsesgebyr på 100 000 kroner opprettholdes.
Vedtaket er enstemmig.
Oslo, 15. februar 2022
Mari Bø Haugstad
Leder