Personvernnemndas avgjørelse av 27. juni 2016 (Olav Torvund, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage over overtredelsesgebyr for mangler ved internkontroll og informasjonssikkerhet.
2 Saksgang og faktum
Den 27. mai 2014 gjennomførte Datatilsynet tilsyn hos Vardø kommune. Tilsynet var en dokumentkontroll av rutinene for internkontroll og informasjonssikkerhet. De avvik som ble avdekket i kontrollen er beskrevet i varsel om vedtak av 18. desember 2014 og den foreløpige kontrollrapporten. I brev av 29. januar 2015 ga kommunen tilsvar på varselet. Endelig kontrollrapport med vedtak om pålegg og overtredelsesgebyr ble gitt i brev av 30. april 2015.
Datatilsynets vedtak om pålegg:
- Vardø kommune pålegges i medhold av personopplysningsloven § 46, fjerde ledd, jf. § 14, jf. personopplysningsforskriften § 3-1 å etablere, dokumentere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven (internkontroll):
- rutiner for ivaretakelse av enhvers krav om innsyn i kommunens behandlinger av personopplysninger og den registrertes rett til innsyn i egne opplysninger etter § 18, første og andre ledd, jf. forskriften § 3-1, tredje ledd bokstav d). Det vises til kontrollrapportens pkt. 6.1.4.1
- rutiner for ivaretakelse av den registrertes rettigheter til informasjon etter §§ 19 og 20, jf. § 14 jf. forskriften § 3-1, tredje ledd bokstav d). Det vises til kontrollrapportens pkt. 6.1.4.2.
- rutiner for retting og sletting, i samsvar med §§ 27 og 28, jf. § 14, jf. forskriften § 3-1, tredje ledd bokstav c). Se kontrollrapportens pkt. 6.1.4.3.
- rutiner for oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt etter §§ 31 og 33, jf. § 14, jf. forskriften § 3-1, tredje ledd bokstav f). Det vises til kontrollrapportens pkt. 6.1.4.4.
- Vardø kommunen pålegges i medhold av personopplysningsloven § 46, fjerde ledd, jf. §§ 14 og 13, jf. forskriften§ 2-4 første ledd å utarbeide en oversikt over behandlinger av personopplysninger som viser hvilke personopplysninger som behandles, formålet med behandlingen og lovgrunnlaget. Det vises til kontrollrapportens pkt. 6.1.3.
- Vardø kommunen pålegges i medhold av personopplysningsloven§ 46, fjerde ledd, jf. § 13, jf. forskriften § 2-4, andre ledd å gjennomføre risikovurderinger av informasjonssystemet. Det vises til kontrollrapportens pkt. 6.2.2.
- Vardø kommune pålegges i medhold av personopplysningsloven§ 46, fjerde ledd, jf § 13, jf. forskriften § 2-3, å etablere sikkerhetsmål og sikkerhetsstrategi. Det vises til kontrollrapportens pkt. 6.2.1.
- Vardø kommune pålegges i medhold av personopplysningsloven § 46, fjerde ledd, jf. § 13, jf. forskriften § 2-7, å etablere og dokumentere sikkerhetsorganisasjonen. Det vises til kontrollrapportens pkt. 6.2.1.
- Vardø kommune pålegges i medhold av personopplysningsloven § 46, fjerde ledd, jf. § 13, jf. forskriften § 2-8 å etablere rutiner for og gjennomføre opplæring av ansatte for sikker bruk av informasjonssystemet avvikshåndtering. Det vises til kontrollrapportens pkt. 6.2.6.
Datatilsynets vedtak om overtredelsesgebyr:
Vardø kommune pålegges i medhold av personopplysningsloven§ 46, første ledd, jf. §§ 13 og 14 å betale et overtredelsesgebyr til statskassen, stort kroner 50.000 – femtitusen, for å ha behandlet personopplysninger uten å etablere dokumenterbare og tilfredsstillende tiltak for å sikre at behandlingen skjer i tråd med personopplysningslovens bestemmelser (internkontroll) og uten å sørge for tilfredsstillende informasjonssikkerhet ved behandlingen.
Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. § 47a.
I brev av 22. mai 2015 påklaget Vardø kommune Datatilsynets vedtak.
Saken ble oversendt Personvernnemnda 13. august 2015, som mottok saken 31. august 2015. Klager ble orientert om dette i brev fra nemnda datert 31. august 2015, med frist til uttalelse innen 17. september 2015. Klager har ikke kommentert saken innen fristen.
3 Klagers anførsler
Klager anfører at Datatilsynet ikke har tatt hensyn til
- at avvikene var lukket på tidspunkt for utsendt varsel om vedtak og foreløpig kontrollrapport
- at ileggelse av overtredelsesgebyr er en forskjellsbehandling i forhold til andre lignende kontroller
- at internkontroll er etablert om enn noe ufullstendig
- at informasjonssikkerhet er etablert, men ikke dokumentert
- at Datatilsynet i liten grad har lagt vekt på Vardø kommunes økonomi
- forholdet til tidligere sak i Personvernnemnda (PVN-2014-01).
4 Datatilsynets vurdering
Til anførsel nr 1:
Klager påpeker at de er av den oppfatning at tilsvar med vedlegg fra Vardø kommune ikke er vurdert av Datatilsynet. Kommunen påpeker at Datatilsynet i brev av 29. januar 2015 ble gjort oppmerksomme på at avvikene var lukket, men at dette ikke gjenspeiles i det endelige vedtaket. Dette medfører ikke riktighet.
Følgende dokumenter ble sendt Datatilsynet i forkant av kontrollen:
- Organisasjonskart
- Postrutiner
- IKT-instruks
Dessuten oversendte Vardø kommune i brev av 29. januar 2014 noen skjermbilder fra internkontrollsystemet QMplus. QMplus inneholder dokumenter med beskrivelser av rutiner, sjekklister m.m. QMplus er et felles internkontrollsystem for alle kommunens oppgaver og har bl.a. rutiner for avviksbehandling, kriseplan, risiko- og sårbarhetsanalyse. QMplus er tilgjengelig for alle ansatte i kommunen.
Nedenfor vil Datatilsynet gjennomgå alle avvik holdt opp mot kommunens merknader. Dette vil bli vurdert opp mot Datatilsynets endelige vedtak i saken.
Rutine for begjæring om innsyn – vedtak pkt. 1 bokstav a) og kontrollrapportens pkt. 6.1.4.1
Kommunen hevder at de har rutiner for begjæringer om innsyn etter forvaltningslov og offentlighetslov; og at begjæring om innsyn etter personopplysningsloven vil følge den samme rutinen. Slike rutiner ble ikke forelagt Datatilsynet, verken før, under eller etter kontrollen. Det er ikke tilstrekkelig å vise til at kommunen har rutiner for håndtering av innsyn etter offentlighetslov og forvaltningslov uten å sikre og dokumentere at rutinene er tilpasset kravene i personopplysningsloven.
Datatilsynet er av den oppfatning at det er viktig at rutinene for innsynsbegjæringer etter personopplysningsloven dokumenteres, da disse på vesentlige punkter er forskjellige fra innsynsbegjæringer etter annen lovgivning. For eksempel skal man i tilknytning til en innsynsbegjæring etter personopplysningsloven også redegjøre for sikkerhetstiltak. I den sammenheng bør man i rutinene gjennomgå hvilke sikkerhetstiltak man kan gi ut, og hvilke man må unnta fra innsyn.
At man legger loven til grunn er selvsagt, men ikke tilstrekkelig som rutinebeskrivelse. En slik henvisning vil mangle en sentral del av rutinebeskrivelsen nemlig ansvars- og oppgavefordeling. Hvem har ansvaret for at innsyn gis, at unntakene begrunnes og at frister overholdes. Denne typen opplysninger er en naturlig del av en slik beskrivelse.
Det er heller ikke utferdiget skriftlige rutiner i tilknytning til borgerens (enhvers) krav på innsyn etter§ 18 første ledd.
Avviket er ikke lukket.
Rutine for informasjon til den registrerte – vedtak pkt. 1 bokstav b) og kontrollrapportens pkt. 6.1.4.2
Kommunen bestrider at de ikke har rutiner for informasjon til den registrerte. Kommunen hevder at de i all hovedsak baserer sin behandling av personopplysninger på lovpålagte oppgaver, og at de i slike tilfeller ikke har plikt til å informere den registrerte. Datatilsynet ønsker å poengtere at også i de tilfeller kommunen jobber etter lovpålagte oppgaver, og således er fritatt informasjonsplikten, er også dette en konklusjon som skal fremgå av rutinene som skal sikre at kravene i personopplysningloven etterleves. Dessuten gjelder kravet til informasjon også i forhold til egne ansatte. Det er derfor viktig at det utferdiges dokumenterte rutiner for anvendelse av §§ 19 og 20.
Avviket er ikke lukket.
Rutine for retting og sletting av personopplysninger – vedtak pkt. 1 bokstav c) og kontrollrapportens pkt. 6.1.4.3
Kommunen hevder at de har rutiner for å sikre personopplysningenes kvalitet. Med kvalitet menes her at opplysningene er korrekte og oppdaterte, og at de ikke lagres lenger enn hva som er nødvendig ut fra formålet med behandlingen. Vardø kommune bestrider at de har noe avvik. Kommunen peker på at de har rutiner for håndtering av personalmapper, og at i andre saker skal personopplysninger ikke slettes. Slik Datatilsynet ser det, er dette en alt for generell rutine. Hvilke rutine har f.eks. kommunen hvis en registrert beviselig synliggjør at faktiske personopplysninger er feil?
Kommunen må ta utgangspunkt i de ulike behandlingene, vurdere i hvilken grad plikten er aktuell og lage nødvendige rutiner.
Slike rutiner ble ikke forelagt under kontrollen. De rutinene kommunen sikter til framkommer i arkivplanen. I forhold til personopplysningslovens krav til kvalitet for personopplysningene er den for generell.
Avviket er ikke lukket.
Rutine for oppfyllelse av melde- og konsesjonsplikten – vedtak pkt. 1 bokstav d og kontrollrapportens pkt. 6.1.4.4
Kommunen påpeker at Datatilsynet vektlegger at det ikke er sendt melding om behandling av personopplysninger uten å tilkjennegi hvilke meldinger tilsynet sikter til. Datatilsynet presiserer at det er kommunens plikt gjennom internkontrollen å identifisere og sørge for at meldepliktige behandlinger meldes. Disse forhold er nevnt i kontrollrapporten som en orientering til kommunen. Derimot har tilsynet vektlagt at kommunen ikke har etablert dokumenterte rutiner for oppfyllelse av kommunens plikter etter §§ 31 og 33.
Gjennom internkontrollen skulle kommunen sikret at melde- og konsesjonsplikten var vurdert for kommunens ulike behandlinger. Dette henger også sammen med at kommunen ikke hadde en oversikt over opplysninger de behandler som kunne satt de i stand til å vurdere om de aktuelle behandlingene var melde eller konsesjonspliktige, se nedenfor i neste avsnitt. Dette var ikke gjort.
Avviket er ikke lukket.
Oversikt over personopplysninger som behandles – vedtak pkt. 2 og kontrollrapportens pkt. 6.1.3
Kommunen påpeker at det ikke er utarbeidet noen overordnet oversikt over personopplysninger som behandles i de forskjellige enhetene i kommunen, men innrømmer at det ikke er laget noen systematisk oversikt over dette i internkontrollsystemet på kontrolltidspunktet. Det hevdes videre at dette på ingen måte betyr at det ikke finnes noen oversikt over typer opplysninger som behandles i kommunen, og viser til postrutinene. Slik Datatilsynet ser det har postrutinene liten relevans i denne sammenheng. Datatilsynet har gjennomgått postrutinen, slik disse er framlagt for Datatilsynet, og kan ikke se at de viser at kommunen har en oversikt over personopplysninger som forskriften § 2-4 krever.
Oversikten skal også omfatte egne ansatte og digitaliserte tjenester. Således er også registrering av cookies å regne som en personopplysning. Det samme gjelder ved bruk av loggføring i et adgangskontrollanlegg eller bruk av kameraovervåking. Hensikten med en slik oversikt er blant annet å ha et godt grunnlag for å kunne fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger, og derigjennom kunne gjennomføre en risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd.
Avviket er ikke lukket.
Risikovurdering – vedtak pkt.3 og kontrollrapportens pkt. 6.2.2
I sitt tilsvar har kommunen lagt ved ROS analysen som ble gjort i 2012. Dette er, ut fra det tilsynet kan se, en omfattende ROS analyse av beredskap og andre områder der Datatilsynet ikke er kontrollmyndighet. Tilsynet har funnet fire punkter som er knyttet til internkontroll, og da i hovedsak knyttet til kommunikasjonskanaler. Den vurdering tilsynet har gjort i foreløpig kontrollrapport er gjort uten kjennskap til denne ROS analysen, men tilsynet mener denne analysen ikke endrer det faktum at kommunen mangler en systematisk oversikt over sine behandlinger og en risikovurdering knyttet til sine behandlinger av personopplysninger slik det kreves etter personopplysningsloven § 13 jf forskriften§ 2-4.
Avviket er ikke lukket.
Etablere sikkerhetsmål og sikkerhetsstrategi – vedtak pkt. 4 og kontrollrapportens pkt. 6.2.1
Manglene her kommenteres ikke, så tilsynet legger til grunn at kommunen er enig med tilsynet i at dette ikke er på plass slik forskriften krever.
Avviket er ikke lukket.
Etablere en sikkerhetsorganisasjon – vedtak pkt.5 og kontrollrapportens pkt. 6.2.1
Her beskriver kommunen i sitt tilsvar at deres sikkerhetsorganisasjon består av to personer som har dedikerte oppgaver og som forestår den daglige ledelsen av sikkerhetsarbeidet, herunder arbeidet med informasjonssikkerhet. Datatilsynet ble i kontrollen ikke forelagt dokumentasjon som tilsier at dette er nedfelt i dokumentasjon og rutiner hos kommunen, tilsynet har heller ikke mottatt dokumentasjon som synliggjør at dette er inntatt i verktøyet QMplus.
Avviket er ikke lukket.
Etablere rutiner for å gjennomføre sikkerhetsrevisjon – kontrollrapportens pkt.6.2.3
Tilsynet la kommunens redegjørelse til grunn i tilsvaret av 29. januar 2015. Det ble ikke fattet vedtak på dette punkt, og kontrollrapporten ble også endret.
Etablere rutiner for avvikshåndtering og sikkerhetsbrudd – kontrollrapportens pkt.
6.2.4
Tilsynet la kommunens redegjørelse i tilsvaret til grunn, der det vises til og forklares hvordan dette er løst ved bruk av rutinen i «IKT-instruksen» og ved bruk av skjema fra QMplus verktøyet. Punktet ble derfor endret både i endelig rapport og endelig vedtak.
Etablere rutiner for å gjennomføre opplæring av ansatte for sikker bruk av informasjonssystemet – vedtak pkt. 6 og kontrollrapportens pkt. 6.2.6
Her beskriver ikke forskriften hva som må til for å si at man tilfredsstiller kravet i forskriften. Datatilsynet legger til grunn kommunens tilsvar som sammen med «IKT-instruksen» og beskrevet bruk av QMplus verktøyet konkluderes det med at tilsynet ikke kan statuere et avvik.
Tilsynet peker likevel på at de manglene det er vist til knyttet til dokumentasjon både av internkontroll og informasjonssikkerhet, etter tilsynets mening, i stor grad vil påvirke kvaliteten på den opplæringen knyttet til dette. Det må også nevenes at tilsynet ikke har hatt tilgang til QMplus verktøyet og ikke har kunnet verifisere hvordan dette virker.
Datatilsynet omgjør vedtak pkt. 6.
Konklusjon på hvorvidt kommunen hadde lukket sine avvik:
Under kontrollen kunne det ikke legges fram dokumentasjon som viste at kommunen hadde en internkontroll i henhold til personopplysningsloven og en tilfredsstillende informasjonssikkerhet. Tilsvaret med vedlegg dokumenterer noe om rutiner for avviksbehandling og for opplæring, samt at kommunen forklarer tydeligere hva de selv mener de har kontroll på. Imidlertid er det fremdeles slik at dokumentasjonskravene i lov og forskrift ikke er oppfylt, jf. det som er nevnt i avsnittene ovenfor. Det er heller ikke gjennomført og dokumentert risikovurderinger av kommunens behandling av personopplysninger.
At Datatilsynet ikke anså avvikene som lukket er tydelig gjenspeilt i vedtak av 30. april 2015.
Til anførsel nr. 2:
Vardø kommune peker på at når majoriteten av norske kommuner synes å ha de samme manglene i sin etterlevelse av regelverket blir det usaklig forskjellsbehandling å ilegge Vardø kommune et overtredelsesgebyr.
Bruk av overtredelsesgebyr for brudd på personopplysningsloven med forskrift er et sanksjonsmiddel Datatilsynet fikk og tok i bruk i 2009. Helt bevisst har man fra tilsynets side valgt en gradvis utvikling i bruken av dette sanksjonsmiddelet, der man i den senere tid har benyttet dette i økende grad. Tilsynet har hatt et stort antall kontroller hos en rekke forskjellige offentlige virksomheter med til dels betydelige avvik. Tilsynet har i disse sakene fattet flere vedtak om retting, uten at dette har hatt den allmennpreventive virkning både tilsynet og lovgiver hadde ønsket. Derfor har tilsynet sett seg nødt til å bruke overtredelsesgebyr i økende grad for å søke ytterligere regelverksetterlevelse hos offentlige virksomheter. Muligheten til å ilegge overtredelsesgebyr var gitt til Datatilsynet nettopp i den hensikt å sikre et kraftigere virkemiddel for situasjoner med mangelfull regelverksetterlevelse. Som daværende Fornyings- og administrasjonsdepartementet uttaler i Ot.prp. nr. 71 (2007-2008): «Gjeldende sanksjonsmuligheter -pålegg, tvangsmulkt og straff – er etter departementets syn av flere grunner ikke tilstrekkelige virkemidler for en effektiv håndhevelse av loven».
Det er viktig for tilsynet å presisere at tilsynets praksis også er i kontinuerlig utvikling for å oppfylle vårt lovpålagte mandat. Bruk av strengere virkemidler er en naturlig utvikling av praksis når man ser at regelverksetterlevelse ikke øker etter bruk av kontroll og endringspålegg som virkemiddel.
Til anførsel nr. 3 og 4:
Når Datatilsynet skal gjennomføre tilsyn av hvorvidt kommunen har relevante og tilstrekkelige rutiner for internkontroll og informasjonssikkerhet kan dette bare skje ved fremleggelse av dokumenterte rutiner fra kommunens side, se her forskriften § 3-1 annet ledd:
internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå.
På bakgrunn av dette ba Datatilsynet i varsel om kontroll av 24. april 2014 om følgende dokumentasjon:
Datatilsynet ber om at virksomheten, innen 19. mai 2014 og med referanse til Datatilsynets saksnummer oversender følgende dokumentasjon:
- oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart,
- styrende dokumenter for internkontroll, jf personopplysningsforskriften § 3-1, blant annet rutiner for:
- vurdering av personopplysningenes kvalitet§§ 27 og 28
- oppfyllelse av begjæringer av innsyn § 18
- oppfyllelse av begjæringer av informasjon§§ 19 og 20
- oversikt over personopplysninger som behandles, jf personopplysningsforskriften § 2-4
- oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjons eller systemkart
- risikovurderinger av informasjonssystemet, jf personopplysningsforskriften § 2-4
- avviksrutiner, jf personopplysningsforskriften § 2-6
- navn og funksjon for de som deltar fra virksomheten under kontrollen, dersom dette er avklart.
Den dokumentasjon som ble oversendt Datatilsynet var et organisasjonskart, postrutiner for Vardø kommune og IKT-instruks for kommunen. Det ble heller ikke gitt skriftlig dokumentasjon på møtet eller i etterkant av tilsynet, utover enkelte skjermbilder fra internkontrollsystemet QMplus.
I sitt tilsvar fremholder kommunen at det faktum at all dokumentasjon av internkontrollsystemet ikke er i samme dokument ikke i seg selv er i strid med § 14. Dette er i og for seg riktig men at man har noe dokumentasjon trenger heller ikke nødvendigvis bety at internkontrollen er tilstrekkelig. Ved manglende systematikk i dokumentasjonen vil det være umulig for tilsynsmyndigheten å gjøre en god dokumentkontroll. Det fremlagte har klare mangler i forhold til de konkrete krav som personopplysningsloven med forskrift oppstiller som vist over. Datatilsynet kan av det tidligere fremlagte og den innsendte klage fortsatt ikke se at kommunen på kontrolltidspunktet hadde dokumenterte systematiske tiltak slik § 14 krever.
Til anførsel nr. 5 - vedtak om overtredelsesgebyr – gebyrets størrelse
Adgangen til å ilegge overtredelsesgebyr er gitt som et virkemiddel for å sikre effektiv etterlevelse og håndhevelse av personopplysningsloven. Internrettslig er overtredelsesgebyr ikke å anse som en straff, men en administrativ sanksjon. Det må imidlertid antas at overtredelsesgebyr er å anse som straff etter EMK (den europeiske menneskerettighetskonvensjonen) art 6, og i samsvar med Høyesteretts praksis, jf. Rt. 2012 side 1556 med videre henvisninger, legger derfor Datatilsynet til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge gebyr. Saksforholdet og spørsmålet om å ilegge overtredelsesgebyr er vurdert med utgangspunkt i dette beviskravet.
Ved vurderingen om det skal ilegges et overtredelsgebyr er det lagt vekt på at internkontroll er en nødvendig forutsetning for at den behandlingsansvarlige skal kunne forsikre seg om, og løpende kontrollere at virksomheten til enhver tid følger personopplysningslovens bestemmelser. Datatilsynet mener at mangelen ved internkontrollen som ble avdekket og derigjennom manglende dokumenterte rutiner er et betydelig avvik og må ansees alvorlig i forhold til de interesser loven verner, jf § 46, andre ledd bokstav a).
Forventningen om at et offentlig organ setter seg grundig inn i personopplysnings-regelverket og etablerer gode rutiner for å sikre etterlevelsen av det har betydning for vurderingen av skyldgraden etter § 46, andre ledd bokstav b). Det kan her vises til at Vardø kommune behandler sensitive personopplysninger i store deler av sin virksomhet. At de på kontrolltidspunktet ikke kunne vise at de hadde rutiner for dette vektlegger vi i skjerpende retning, både når det gjelder vurderingen av om gebyr skal ilegges og ved utmåling.
Datatilsynet bar også lagt vekt på at mangelfull internkontroll og lovstridig praksis øker risikoen betydelig for negative konsekvenser for de registrerte. Kontrollen avdekker også at det ikke er foretatt tilstrekkelige risikovurdering i henhold til forskriften § 2-4. Det gjør at kommunen i liten grad er i stand til å forutse potensielle konsekvenser for personvernet og andre sikkerhetshendelser som omfatter personopplysninger. Plikten etter denne bestemmelsen er også et uttrykk for en interesse loven verner, jf § 46 andre ledd bokstav a), og brudd på plikten er et argument for ileggelse av overtredelsesgebyr.
At risikovurderingene i liten grad er dokumentert gjør det i tillegg tilnærmet umulig for tilsynsmyndigheten å føre den kontroll som følger av loven. Uten skriftlighet er det umulig å stadfeste om virksomheten i tilstrekkelig grad har vurdert risiko for sin egen behandling av personopplysninger.
Kravet om at internkontrollen skal være dokumentert og systematisk er også viktig for å sette den behandlingsansvarlige i stand til å implementere rutiner. I tillegg til at det er en legal plikt til å dokumentere tiltakene, er det etter tilsynets oppfatning også av avgjørende betydning for å sikre at rutiner kan gjenfinnes og kommuniseres enhetlig internt i en organisasjon, i tillegg til overfor tilsynsmyndigheten.
Det fragmenterte bildet som kommunen fremviste bar klare mangler både når det gjelder systematikk, dokumentasjon og evne til å bevise at de er implementert i organisasjonen.
Tilsynet kan ikke påvise gjentakelse direkte i og med at dette er første gang dette påpekes overfor kommunen, jf. § 46, fjerde ledd bokstav f), men at forholdet har vart i mange år vurderes som skjerpende i relasjon til graden av skyld, jf bokstav b).
Manglene er av en slik art og omfang at det medfører etter tilsynets oppfatning en uholdbar risiko for at kommunen i praksis har brutt og fremdeles bryter andre helt sentrale bestemmelser i personopplysningsloven, uten at dette kan oppdages av virksomheten selv eller tilsynsmyndigheten. Manglene er av den grunn også skjerpende i vurderingen av om overtredelsesgebyr skal ilegges jf. § 46, andre ledd bokstav c) hvor det skal vektlegges om retningslinjer mv. kunne forebygget overtredelsen.
Overtrederens økonomiske evne er det i liten grad lagt vekt på, jf § 46, fjerde ledd bokstav h). I tillegg til at gebyr fremstår som usaklig forskjellsbehandling påberoper kommunen seg at Datatilsynet ikke i tilstrekkelig grad bar hensyntatt kommunens økonomi ved ileggelsen av overtredelsesgebyr.
Utgangspunktet er at et overtredelsesgebyr skal være av en størrelse som sett i forhold til overtreders økonomi gir en merkbar reaksjon. Holdt opp mot kommunes totale økonomi er et gebyret på kr 50 000 en beskjeden sum i forhold til kommunens totale utgifter. Sett i dette perspektivet må økonomisk evne vurderes som lite avgjørende for om gebyr skal ilegges i denne størrelsesorden. Overtredelses karakter og alvorlighet er i denne saken hovedbegrunnelsen til at overtredelsesgebyr ilegges.
Om svak økonomi skal tillegges betydelig vekt i vurderingen om gebyr skal ilegges må gebyrets størrelse har en tilnærmet ødeleggende effekt på pliktsubjektets økonomi. Det kan ikke Datatilsynet se er tilfellet i denne saken.
Størrelsen er heller ikke i seg selv uforholdsmessig i forhold til de omfattende mangler som tilsynet mener internkontrollen lider av.
Til anførsel nr. 6 - vedtak om overtredelsesgebyr – forholdet til PVN-2014-01
Endelig påpeker klager at såfremt Datatilsynet opprettholder pålegget om overtredelsesgebyr må tilsynet «i samsvar med Personvernnemndas avgjørelse i sak PVN-2014-1 angi de faktiske forhold som etter Datatilsynets vurdering begrunner at det med tilstrekkelig strafferettslig sannsynlighetsovervekt foreligger et straffeansvar».
Datatilsynet vil her vise at internrettslig er overtredelsesgebyr ikke å anse som straff, men en administrativ sanksjon. Det må imidlertid antas at overtredelsesgebyr er å anse som straff etter EMK (den europeiske menneskerettighetskonvensjonen) art 6, og i samsvar med Høyesteretts praksis, jf. Rt. 2012 side 1556 med videre henvisninger, legger derfor Datatilsynet til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge overtredelsesgebyr. Alle tilsynets vurderinger og konklusjoner er tatt med utgangspunkt i dette beviskravet som følger av Høyesteretts praksis.
5 Personvernnemndas syn
Eva Jarbekk, Arve Føyen og Ingvild Hanssen-Bauer var inhabile. Nemnda kalte inn Olav Torvund som vararepresentant for Eva Jarbekk. Nemnda behandlet derfor saken med seks medlemmer.
Datatilsynet har ved stedlig tilsyn med dokumentkontroll hos Vardø kommune funnet at internkontrollen for behandling av personopplysninger, herunder rutiner for innsyn, informasjon og retting/sletting ikke er i samsvar med personopplysningsloven. Videre har tilsynet funnet mangler ved rutine for melde- og konsesjonsplikt, oversikt over personopplysninger som behandles, risikovurdering, sikkerhetsstrategi, sikkerhetsorganisasjon, sikkerhetsrevisjon og avvikshåndtering. Tilsynet er gjennomført av eget tiltak uten at det er opplyst om konkrete saker hvor noens personvern er krenket.
Vardø er en kommune med ca 2 200 innbyggere, hvorav ca 230 personer er ansatt i kommunen, hvilket betyr at kommunen har en tilsvarende liten administrasjon. Vardø kommune har anskaffet et system for internkontroll for kommunens virksomhet, «QMplus», som alle kommunens ansatte har tilgang til. I tillegg har kommunen utarbeidet en IKT-instruks for kommunens ansatte. Datatilsynet har funnet at nevnte dokumentasjon ikke er tilstrekkelig til å oppfylle personopplysningslovens krav til internkontroll, og har på dette grunnlag fattet vedtak om pålegg og gebyr.
Personvernnemnda skal ta stilling til tilsynets pålegg og gebyrileggelse. Nemnda er enig med tilsynet i at det foreligger mangler ved kommunens dokumentasjon av internkontroll og rutiner, jf Datatilsynets pålegg. Nemnda ser det slik at kommunen må innrette seg på en annen måte for å oppfylle personopplysningslovens krav og rette opp de mangler som er påpekt. Nemnda mener likevel at det er en mangel ved Datatilsynets vedtak at det ikke konkret påpeker hvor kommunen har avveket fra de rettslige krav som følger av personopplysningsloven og forskrifter. Nemnda ser at lovens bestemmelser om dokumentasjon og internkontrollrutiner er upresise og skjønnsmessige. Det understreker behovet for en konkret påpekning fra Datatilsynets side hvor tilsynet mener at normbruddet foreligger. Dette er ikke et spørsmål om hvilken ordning tilsynets finner hensiktsmessig men hvor kommunens praksis representerer en lovstridig ordning. Dokumentasjonskravene for internkontroll er vanskelig å forholde seg til, særlig for en kommune av denne størrelse. Etter nemndas syn avdekker saken først og fremst et behov for veiledning for så vidt gjelder dokumentasjonsomfang og detaljeringsgrad. Slik veiledning burde etter nemndas syn vært gjennomført av Datatilsynet i denne saken, jf veiledningsplikten i personopplysningsloven § 42 annet ledd, nr 5 og 6, og veiledningsplikten i forvaltningsloven § 11.
Når det gjelder gebyrileggelsen følger det av personopplysningsloven § 46 annet ledd at ved vurderingen av om overtredelsesgebyr skal ilegges og ved utmålingen, skal det særlig legges vekt på de momenter som fremgår av bokstavene a) til h).
Etter bokstav a) skal det legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. I denne saken er det ikke anført at de interesser som personopplysningsloven verner er krenket.
Etter bokstav b) skal det ved vurderingen legges vekt på om overtredelsen er resultat av et uhell eller en planmessig, villet handling. I denne saken har klager forsøkt å følge loven og forsøkt å rette opp i mangler. Skyldgraden er derfor ikke høy.
Etter bokstav c) skal det legges vekt på om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen. Dette punktet er ikke aktuelt.
Etter bokstav d) skal det vektlegges om overtredelsen er begått for å sikre overtrederens interesser. Det er ikke anført at klager har hatt egeninteresse i avvikene.
Etter bokstav e) skal det legges vekt på om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen. Det er ikke anført at klager har hatt noen fordel av dette.
Etter bokstav f) skal det vektlegges om det foreligger gjentakelse. Slik nemnda ser det er overtredelsen kontinuerlig og vedvarende, men ikke en gjentatt handling. Det er følgelig ikke relevant å vektlegge bokstav f).
Etter bokstav g) skal det legges vekt på om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff. Det er ikke tilfelle i denne saken.
Etter bokstav h) skal det legges vekt på overtrederens økonomiske evne. Vardø kommunes økonomi er begrenset og kommunen har ikke en kommersiell målsetting.
Kommunen har vist vilje til å etterleve loven. Veiledning vil sette kommunen i stand til å oppfylle de krav loven stiller. Etter en helhetsvurdering er nemnda kommet til at ileggelse av overtredelsesgebyr ikke er en forholdsmessig reaksjon.
Klagen tas delvis til følge. Hensett de mangler som Datatilsynet har dokumentert anser nemnda det ikke forholdsmessig å ilegge gebyr.
6 Vedtak
Personvernnemnda opphever Datatilsynets vedtak for så vidt gjelder overtredelsesgebyr.
Oslo, 27. juni 2016
Olav Torvund
Leder