Personvernnemndas avgjørelse av 11. mai 2012 (Eva I. E. Jarbekk, Ingvild Hanssen-Bauer, Tom Bolstad, Leikny Øgrim, Gisle Hannemyr, Jostein Halgunset, Ørnulf Rasmussen)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets beslutning om å ikke ilegge arbeidsgiver overtredelsesgebyr i sak vedrørende innsyn i arbeidstakers e-post.
2 Saksgang
Datatilsynet har behandlet saken på nytt etter at Personvernnemnda i PVN-2011-01 kom til at tilsynets avgjørelse var mangelfullt begrunnet. Datatilsynet foretok en ny vurdering av saken, som ble oversendt klager 2.2.2012. Tilsynet avsluttet da saken etter en gjennomgang av samtlige momenter i personopplysningsloven § 46. Tilsynet besluttet å ikke ilegge arbeidsgiver overtredelsesgebyr i saken vedrørende innsyn i arbeidstakers e-post.
Klager påklaget beslutningen i brev av 21.2.2012.
Saken ble oversendt Personvernnemnda 2.3.2012, som mottok saken 5.3.2012. Klager ble orientert om dette i brev fra nemnda datert 6.3.2012, med frist til uttalelse innen 23.3.2012. Klager har ikke kommentert saken innen fristen.
3 Faktum
Saken PVN-2011-01 gjaldt klage på Datatilsynets vedtak om å avslutte sak om arbeidsgivers innsyn i e-post uten ileggelse av overtredelsesgebyr. Klager anførte at bruddene på personopplysningsforskriften var såpass alvorlige at det burde utløse en reaksjon fra Datatilsynets side, jf personopplysningsloven § 46. Datatilsynet vurderte å ilegge overtredelsesgebyr og konkluderte med at en sanksjon i form av et overtredelsesgebyr ville være en for streng reaksjon i denne saken sett i sammenheng med tidligere saker som Datatilsynet har vurdert som alvorligere. Personvernnemnda kom til at Datatilsynet ikke hadde særlig vurdert de momenter som loven pålegger tilsynet å legge vekt på, jf § 46 annet ledd. Etter nemndas syn har lovgiver foretatt et bevisst valg av en spesiell lovgivningsteknikk – dette ”skal” vurderes – og nemnda oppfatter at dette binder Datatilsynet i kriteriene for vurdering. Saken ble sendt tilbake til Datatilsynet som mangelfullt begrunnet. Datatilsynet har nå foretatt en grundig vurdering av § 46 og konkludert med at overtredelsesgebyr ikke skal ilegges. Klager har påklaget denne beslutningen.
4 Klagers anførsler
Klager har anført at det er Datatilsynet som selv bestemmer hvor høy terskelen skal være for ileggelse av overtredelsesgebyr når Datatilsynet anfører at terskelen er "høy". Klager oppfatter at terskelen er satt for høyt i forhold til det inntrykket klager får etter å ha gjennomgått ordlyd og merknader til personopplysningsforskriften kapittel 9. De vurderinger som gjøres av tilsynet synes ikke å være i samsvar med ordlyden. Det vises til forskriften § 9-2 og merknadene til bokstav a og b.
Klager viser videre til at arbeidsgiver visste at klager hadde rapporten da det ble foretatt innsyn og den e-posten som det ble foretatt innsyn i var sendt til en fagforeningsrepresentant. Det vil si at arbeidsgiver ikke hadde innsynsrett når det gjaldt denne e-posten.
Når det gjelder forskriften § 9-3 er klager overrasket over at tilsynet ikke har vurdert speilkopiering som et alternativ dersom arbeidsgiver frykter bevisforspillelse.
Klager ble ikke varslet og fikk ikke anledning til å uttale seg før innsyn ble gjennomført, til tross for at arbeidsgiver hadde mulighet til å speilkopiere.
Klager oppfatter at § 9-3 er svært streng og klager er forundret over at å ignorere denne ikke medfører større konsekvenser for arbeidsgiver. Klager ble også fratatt alternativet å aktivt velge å ikke være representert av tillitsvalgt ved innsynet.
Klager mener at de interesser forskriften verner er grovt krenket i denne saken. Klager ble fratatt alle muligheter for å være med i prosessen. Etter klagers syn valgte arbeidsgiver bevisst å gjennomføre innsyn i strid med forskriften §§ 9-2 og 9-3. Det foreligger høy grad av skyld. Bedriften har god økonomisk evne, gode juridiske ressurser og burde vite hvilket ansvar den har. Bedriften kunne utvilsomt ha forebygget hendelsen. Overtredelsen er klart begått for å fremme overtrederens interesser. Bruddene er så alvorlige at det bør utløse en sterkere reaksjon fra Datatilsynet. Klager mener at Datatilsynet er lempelige i forhold til arbeidsgivers håndtering av denne saken, og at terskelen for overtredelsesgebyr er satt for høyt.
5 Datatilsynets vurdering
Datatilsynet påpeker at arbeidsgiver har brutt prosedyrebestemmelsen i forskriften § 9-3 med hensyn til unnlatt varsling samt etterfølgende varsling først tre uker senere. Det følger av loven § 46 at Datatilsynet kan ilegge den som har overtrådt personopplysningsloven eller forskriften et overtredelsesgebyr. Ved vurderingen av om gebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på momentene i § 46 annet ledd bokstavene a – h. Tilsynet har vurdert alle aktuelle momenter i bokstavene a – h og konkludert med at det ikke er grunnlag for å kunne ilegge Sparebank1 Skadeforsikring AS et overtredelsesgebyr. Det legges vekt på at terskelen for å ilegge gebyr er høy og at Datatilsynet benytter dette virkemiddelet i saker hvor det foreligger grove overtredelser. For eksempel nevnes saker hvor arbeidsgiver sjikanøst har gjort innsyn i og tilgjengeliggjort hele innholdet av arbeidstakers e-postkasse i lengre perioder. Selv om arbeidsgiver har overtrådt krav i forskriften § 9-3, har arbeidsgiver gjennomført innsynet på en slik måte at arbeidstakers personvern i mindre grad har blitt skadelidende. Det er gjort et enkeltstående innsyn, begrenset til ett relevant dokument, etter en vurdering av om vilkår for innsyn var til stede. Datatilsynet har ikke ilagt overtredelsesgebyr i saker som det er naturlig å sammenligne med.
Datatilsynet har forståelse for at saken oppleves belastende og i noen grad ønsket om hardere virkemidler. Etter Datatilsynets vurdering kan imidlertid ikke en ileggelse av overtredelsesgebyr forsvares med hensyn til tilsynets praksis samt krav oppstilt i personopplysningsloven § 46.
6 Personvernnemndas merknader
Personvernnemnda skal ta stilling til klage over at Datatilsynet ikke har ilagt overtredelsesgebyr etter personopplysningsloven § 46 i denne saken. Datatilsynet har etter nemndas syn gjort en grundig vurdering av hvorvidt gebyr skal ilegges. Datatilsynet konkluderer med at selv om foretaket har brutt personopplysningsforskriften, er innsyn gjennomført på en slik måte at arbeidstakers personvern i mindre grad er blitt skadelidende. Tilsynet legger videre vekt på at terskelen for bruk av sanksjonsapparatet er høy, og fordi overtredelsen i denne saken ikke er grov, ligger denne saken utenfor det området som tilsynet ønsker å bruke sanksjonsapparatet på. Personvernnemnda slutter seg til tilsynets vurdering nå som tilsynet har vurdert alle momentene som skal vurderes etter § 46. Nemnda er enig med tilsynet i at overtredelsen i denne saken ikke er av alvorlig karakter. Det var tale om kun ett innsyn og det var kun ett dokument man så etter, slik at overtredelsen kan ikke karakteriseres som grov. Personvernnemnda er kjent med at de sakene hvor Datatilsynet har brukt sanksjoner, for eksempel sakene vedrørende Vinmonopolet, Bazar Forlag og Redningsselskapet, har vært svært mye mer graverende. Når det gjelder klagers anførsler er nemnda enig med klager i at foretaket burde være kjent med regelverket, og at hendelsen kunne ha vært forebygget ved bedre interne rutiner. Nemnda legger likevel avgjørende vekt på at personvernulempene for klager som følge av manglende varsling må anses begrenset i denne saken. Personvernnemnda er således enig med Datatilsynet i at overtredelsesgebyr ikke skal ilegges i saken.
7 Vedtak
Klagen tas ikke til følge.
Oslo, 11. mai 2012
Eva I E Jarbekk
Leder