Personvernnemndas avgjørelse av 25. november 2016 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage over tilsynets vedtak om overtredelsesgebyr for videresending av alle innkommende eposter i strid med personopplysningsforskriften § 9-2.
2 Saksgang og faktum
Saken gjelder klage fra Codex Advokat Oslo AS («Codex») etter at Datatilsynet ila advokatkontoret et overtredelsesgebyr for advokatkontorets videresending av alle innkommende eposter til en ansatt (her anonymisert til «A») som var suspendert, i strid med personopplysningsforskriften § 9-2.
En person ansatt i Codex ble suspendert fra sin stilling den 15. mai 2015. Dette skyldtes en konflikt mellom partene i forbindelse med en mulig overgang til et annet advokatfirma. Samtidig med suspensjonen ble A fratatt tilgangen til epost, og firmaet begynte å videresende alle innkommende eposter automatisk og fortløpende til en annen person i firmaet. Codex underrettet A om videresendingen den 19. mai, fire dager etter at videresendingen tok til. Det ble opplyst at det var nødvendig for den daglige drift og ivaretakelse av klientene, og at private eposter ville videresendes til A.
Ved brev av 20. mai 2015 henvendte A seg, ved advokat Alf Kåre Knudsen, til Datatilsynet om den pågående videresendingen av epost. Det ble anmodet om at tilsynet grep inn, herunder med et eventuelt overtredelsesgebyr.
Den 27. mai ble A avskjediget fra sin stilling. Codex avsluttet videresendingen av epost den 1. juni, og la i stedet inn en fraværsmelding med kontaktinformasjon. Epostkassen ble avsluttet, i betydningen deaktivert, den 2. juli slik at det ikke lenger var mulig å sende epost til eller fra epostkassen.
Datatilsynet så alvorlig på innsynet som hadde funnet sted i form av fortløpende videresending av alle innkommende eposter, og besluttet å starte en sak mot Codex. I brev av 5. juni 2015 ble det varslet at Datatilsynet vurderte ileggelse av overtredelsesgebyr, og den 10. februar 2016 ble vedtak om overtredelsesgebyr fattet. Datatilsynets vedtak lyder:
Codex Advokat Oslo AS pålegges å betale til statskassen et overtredelsesgebyr pålydende 75 000 – syttifemtusen 00/100 – kroner for overtredelse av personopplysningsforskriften § 9-2.
I epost av 17. mars 2016 tok A opp et nytt forhold han mente burde trekkes inn i saken. Det gjaldt et forestående innsyn i backup av hans epostkasse. Dagen etter, den 18. mars, sendte A en ny epost til Datatilsynet. Han forklarte at det var oppnådd enighet med Codex i den underliggende avskjedssaken, og at han som ledd i den minnelige løsningen ønsket å trekke tilbake tidligere anførsler.
Etter å ha fått utsatt klagefristen i flere omganger, påklagde Codex vedtaket den 10. april 2016.
Saken ble oversendt Personvernnemnda 21. juni 2016, som mottok saken 5. juli 2016. Klager ble orientert om dette i brev fra nemnda datert 6. juli 2016, med frist til uttalelse innen 25. august 2016. Det er ikke innkommet kommentarer.
3 Klagers anførsler
Codex anfører at det i det foreliggende tilfelle ikke dreier seg om en ordinær virksomhet, men at advokatvirksomhet har en lovpålagt plikt til å ivareta klientenes interesser. Klager fastholder at advokatvirksomheten må sette klientenes interesser først. Det vises til forvalterordningen etter domstolslovens § 228. Det følger av ordningen at arbeidsgiver alternativt måtte gitt tilgang til en oppnevnt advokat (forvalteren) i stedet. Sett fra den enkelte advokats side, vil et slikt tiltak være adskillig mer inngripende. Forvalterordningen bekrefter klagers syn om at klientenes interesser går foran advokatens personlige interesser. Det vises til brev fra Tilsynsrådet av 19. juni 2015:
Det er imidlertid på det rene at både Codex Advokat Oslo AS og A har et ansvar for å ivareta klientenes interesser i løpende saker, også i en situasjon som den foreliggende der det har oppstått en konflikt mellom arbeidsgiver og en tidligere arbeidstaker.
(Den tidligere ansattes navn er anonymisert av Personvernnemnda til «A»).
Codex stiller det retoriske spørsmålet hvordan advokatfirmaet skal være i stand til å ivareta denne plikten uten å i hvert fall ha et slikt begrenset innsyn, i en begrenset periode, som det her er snakk om.
Codex ber om at Datatilsynet vurderer hvordan tilsynet hadde sett på saken dersom Tilsynsrådet hadde oppnevnt en forvalter som hadde mottatt mailene i stedet for en partner hos Codex. Ville advokatfirmaet, ev Tilsynsrådet, bli ansett for å ha overtrådt loven og vært ilagt gebyr? Codex mener at tilsynsordningen åpenbart vil være mye mer inngripende i personvernet enn et slikt begrenset innsyn som ble foretatt i saken, da en forvalter nødvendigvis må ha full tilgang til epostboksen for å kunne ivareta oppgaven.
Klager anfører at Datatilsynets utgangspunkt; at dette er et ordinært arbeidsgiver/arbeidstaker forhold, må modifiseres. Ved et slikt justert utgangspunkt, vil man se at de foretatte tiltakene var nødvendige, og må da anses å være i overensstemmelse med personopplysningsforskriften.
I den grad Datatilsynet finner at det foreligger motstridende hensyn mellom advokatforskriften og personopplysningsforskriften, vil klager hevde at advokatforskriften må gå foran. Det må legges til grunn at reglene er i samsvar med hverandre, og ikke er slik at rettssubjektene straffes for å overtre en regel for å overholde en annen.
Codex anfører at man ved tolkningen av reglene, og også ved subsumsjonen, må ta hensyn til at advokater også er underlagt andre plikter. Avveiningen kan derfor falle forskjellig ut i slike tilfeller. I Hålogaland lagmannsretts kjennelse 26.11.2015 (LH-2015-172667), tolkes personopplysningsforskriften § 9-2 bokstav b) i lys av andre regler (bevissikring/bevisavskjæring), og lagmannsretten fant at innsynet var lovlig. Kjennelsen viser at også personopplysningsforskriften må tolkes slik at den er i overensstemmelse med annet regelverk.
Codex er ikke kjent med at Datatilsynet har vært i kontakt med verken Tilsynsrådet eller Advokatforeningen før vedtaket ble fattet. Derimot fastslår Datatilsynet i vedtaket at advokatvirksomhet fullt ut er underlagt forskriften, og aksepterer ikke at plikten til å ivareta klientene må gå foran det personvernhensyn som her diskuteres. Codex tar ikke her stilling til omfanget, men vil med styrke hevde at plikten til å ivareta klientens interesser går foran personvernhensyn i en slik situasjon, dersom man skulle komme til at det foreligger motstrid.
Den rettslige problemstillingen er om vilkårene for innsyn etter personopplysningsforskriften § 9-2 er oppfylt. Vilkårene i både litra a) og b) må vurderes.
Klager vil innledningsvis påpeke at forholdet dreier seg om videresending av innkommende mail til en suspendert/avskjediget partners epostkasse i advokatfirmaet i to uker (ni arbeidsdager). Det er altså et begrenset innsyn der det ikke er noe tilgang til epostkassen som sådan. Klientkorrespondanse som ikke kom per ordinær post i perioden, måtte antas å komme der. A hadde en egen privat epostkasse. Det må kunne påregnes at eventuell personlig korrespondanse, i hvert fall av sensitiv karakter, ikke kommer til epostkassen i advokatfirmaet. Innsynet var således av så lite inngripende karakter som mulig.
Etter samtaler med Datatilsynet valgte klager den 1. juni 2015 å stenge epostkassen, men legge inn autoreply, slik at klientene fikk opplyst mailadresse og telefonnumre de kunne henvende seg til. Avskjeden var da gitt og arbeidsforholdet opphørt. Dette i motsetning til ved suspensjon, da arbeidsforholdet fortsatt bestod.
Codex er organisert med bl.a. egen serviceavdeling som betjener sentralbord, håndterer inn- og utgående post, kopiering og annen dokumenthåndtering. Det er ikke uvanlig at post kun er adressert til Codex, uten advokatens navn. Samtlige ansatte i Codex, samt øvrig personer med tilgang, skal signere taushetserklæring. Codex har videre et rutinesystem (tidligere ISO-sertifisert), som bl.a. har rutiner fora ivareta klientene ved advokatens fravær. Ved f.eks. feriefravær, skal det oppnevnes stedfortreder som kan ivareta oppfølging av sakene og ved behov kontakte advokaten som arbeider på saken. Codex benytter Advisor som saksbehandlingssystem. Der skal sentral informasjon, korrespondanse mv arkiveres, i tillegg til i saksmappen. Systemet er i utgangspunktet åpent, men tilgangen kan begrenses av den enkelte på sine saker. Normalt vil det være meget uhensiktsmessig å begrense tilgangen, da flere personer normalt er involvert i sakene.
Personopplysningsforskriften § 9-2 bokstav a)
Når det gjelder personopplysningsforskriften § 9-2 bokstav a) så skjedde videresending i all hovedsak i suspensjonsperioden, dvs. at ansettelsesforholdet fortsatt eksisterte. Den ansatte var i perioden også sykemeldt. Henvendelser fra klienter må uansett håndteres så godt og sikkert som mulig. Codex har ikke gjort noe annet enn det som er nødvendig for å kunne ivareta klientene på best mulig vis, og tilsvarende som klientforholdet kan ivaretas ved f.eks. syke- eller reisefravær, der advokaten ikke selv besvarer epost, eller ordinær post for den saks skyld. I en situasjon der den ansatte kun hadde adgang til epost eller kontoret etter avtale, og dessuten var sykmeldt, var det utvilsomt nødvendig for å ivareta den daglige driften at Codex hadde direkte korrespondanse med klienten for videre oppfølging. Et advokatfirmas daglige drift er nettopp å følge opp sine klienter. Det er nødvendig at en kollega raskt går inn i en annen sak ved fravær, og ivaretar klientens interesse, følger opp frister etc.
En ordning med fraværsmelding, beskjed om at eposten ikke blir lest og henvisning til en annen epost, ville ikke vært et tilstrekkelig adekvat tiltak for den første perioden, før Codex hadde oversikt over omfanget, løpende saker, frister mv.
Både generelt og mht. Datatilsynets anførsel vedrørende konfidensialitet, vil Codex også trekke parallellen til ordinær post. I forhold til det som kommer per post, er informasjonen som kommer per epost, normalt gjennomgående mindre sensitiv. Partneren som mottok mailene er den andre partneren i avdelingen og han har i mange tilfeller hatt den første kontakt med klienten, er en naturlig diskusjonspartner i sakene og vil således i mange tilfelle uansett ha informasjon om og være kjent med sakene. Håndtering av mail ved fravær, som gjennomgående har mindre sensitivt innhold, videresendt en fagkyndig kollega, må anses å være nødvendig av hensyn til klientene, således nødvendig for virksomheten, og lovlig iht. forskriftens § 9-2, første ledd a).
Det vises også til brevet fra Tilsynsrådet, der det ikke rettes noen kritikk mot fremgangsmåten, eller at det har foreligget brudd på taushetsplikten, men derimot understrekes klientansvaret for både Codex og A.
Videresending av epost fant sted fra suspensjonen fredag 15.5.2015 om ettermiddagen, til mandag 1.6.2015. Epost ble videresendt i ni arbeidsdager. Det begrensede innsynet var således uansett for en meget begrenset periode, uavhengig av hvilket synspunkt man har om vektleggingen av klientansvar og klienthensyn.
Codex valgte også, etter å ha tatt kontakt med Datatilsynet, å avslutte videresendingen. Codex fikk et klart råd fra Datatilsynet, hadde fått en viss ide om omfanget av eposthenvendelser fra klienter og kunne avslutte videresendingen. At Codex likevel ikke var komfortable med dette i forhold til klientansvaret, fremgår ved at Tilsynsrådets vurdering av forholdet ble innhentet.
Personopplysningsforskriften § 9-2 bokstav a), som er den bestemmelsen tilsynet vurderer, gir rett til innsyn «når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten». Datatilsynet anfører i vedtaket at «Det springende punktet i saken er om innsyn, slik det ble gjennomført i denne saken, var nødvendig for å ivareta klientenes interesser», og at «Det er således vanskelig å se at ikke selskapet hadde noen form for egeninteresse i sine handlinger».
Tilsynet fastslår at formålet bak innsynet var saklig, men mener at selskapet gikk «klart utover det som er rettslig tillatt». Tilsynet mener at det f.eks. kunne vært foretatt innsyn annenhver dag, med A til stede og spesifikke søk.
Videre finner tilsynet at vernet mot «personlig integritet, privatliv og konfidensialitet, er klart satt til side».
Codex vil først påpeke at A ved sin mail 18. mars 2016 uttrykker at han ikke ønsker å forfølge Datatilsynets vedtak. Videre trekker han alle sine anførsler og uttaler at han også har forståelse for advokatfirmaets anførsler. Codex forstår dette som en etterfølgende aksept av innsynet, basert på situasjonen som forelå. As uttalelse må uansett være et vesentlig argument for at vilkårene er oppfylt, da Datatilsynet ellers overprøver både advokatens (etterfølgende) og advokatfirmaets vurdering av forholdet.
Det er et sentralt forhold her at advokaten må kunne gi andre tilgang til innsyn i epostboksen når også advokaten finner det nødvendig. Når advokaten og advokatfirmaet i en slik situasjon har en felles forståelse om at innsyn er nødvendig for å ivareta den daglige drift, må vilkåret anses oppfylt. Codex er kjent med forskriftens § 9-5, men dette er ikke en avtale som fraviker bestemmelsene. Det man har her er en felles forståelse om at vilkårene er oppfylt. Det blir en umulig situasjon dersom tilsynet skal overprøve partenes forståelse av når innsyn er nødvendig. Codex viser her til merknadene til forskriften kapittel 9 (under bokstav b), vedrørende arbeidstakers adgang til å gi tilgang.
Codex vil videre anføre at det var nødvendig med fremsendelse av mail nettopp for løpende å kunne ivareta klientene, frister my. Dette er midt i bestemmelsens vilkår og faller under begge alternativene. Det vises til det konkrete eksempelet vedrørende nært forestående ankefrist. Det er ett konkret eksempel og det er lett å forstå at slike situasjoner krever fortløpende fremsendelse av mail.
Verken innsyn annenhver dag, eller spesifikke søk, ville ha avhjulpet i slike situasjoner, med den konsekvens at klienten kunne lidt rettstap og advokatfirmaet risikert erstatningsansvar. Det er da også etter ordlyden «den driften» som gir grunnlag for innsyn.
Til tross for at det av flere grunner (bl.a. en tidligere episode) var svært lite ønskelig å ha A til stede, var det åpnet for dette i suspensjonen. A ba imidlertid ikke om å få være til stede, og var i perioden også sykemeldt.
Det vil for alle praktiske formål være enkelt å se om en mail gjelder klienter eller private forhold basert på beskrivelsen i emnefeltet. Private mail ble videresendt uåpnet og ikke lest. Mottakeren av den videresendte eposten er en tidligere venn og mangeårig kollega. I tillegg er han en erfaren advokat med stor integritet som selvfølgelig ikke ville benytte noen anledning til å «titte litt ekstra» som tilsynet uttrykker det.
Codex minner om at A var suspendert på bakgrunn av mistanke om grove pliktbrudd og sto i fare for å bli avskjediget, noe han senere ble. I en situasjon med suspensjon er poenget at den suspenderte holdes borte fra arbeidet og det er naturligvis som utgangspunkt helt uaktuelt å la personen fortsatt ha tilgang til mailen. Suspensjon er et lovlig tiltak og ved fortsatt tilgang til mail ville suspensjonen ha lite for seg.
Tilsynet skriver at A ikke ble varslet i forkant. Codex mener at varselet fulgte av gjennomgangen i forbindelse med suspensjonen. Uansett fulgte dette av suspensjonen og etterfølgende korrespondanse og klienthåndtering. Videre ble A skriftlig orientert allerede tirsdag 19. mai 2015, jf. forskriften § 9-3 annet ledd.
Datatilsynet foreslår bl.a. spesifikke søk. Spesifikke søk krever spesifikk kunnskap. Advokaten selv ville ikke vært i stand til å angi slike spesifikke søk, da han ikke vet hvem som har sendt mail, eller om f.eks. «frist» er benyttet i klientens, motpartens eller domstolens korrespondanse. Det var som kjent plutselig oppstått en ekstrem situasjon. Eneste sikre mulighet for å kunne følge opp klienter, domstoler, frister mv., var nettopp å få tilsendt innkommende mail. Brevpost ble håndtert som normalt ved fravær. Codex er av den klare oppfatning at tilsynet ikke har forstått situasjonen fullt ut, sett fra selskapets (og nå også advokatens) side, men i ettertid overprøver den vurderingen som måtte tas der og da. Etter to uker hadde man da også såpass kontroll på situasjonen at selskapet fant det forsvarlig å legge inn autoreply i stedet.
Tilsynets utsagn om at «Det er således vanskelig å se at ikke selskapet hadde noen form for egeninteresse i sine handlinger», kan vel neppe brukes mot selskapet. Etter Codex’ forståelse er det ifølge forskriften selskapets egeninteresse («når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten»), som hjemler adgangen til innsyn. Det er da i selskapets egeninteresse å ivareta klientenes interesse, både fordi det er selve virksomheten, samt at det motsatte fort kan medføre et erstatningsansvar. Det er således ingen motstrid her.
Datatilsynet finner at hensynet til avsender medfører at videresending er problematisk. Codex vil først påpeke at i valget mellom risikoen for å lide rettstap og at en annen partner på samme fagområdet kan se en mail for å følge opp saken, er Codex overbevist om at alle ville valgt at en kvalifisert kollega fikk innsyn. Kollegaen var den samme som normalt hadde hatt første kontakt med kunden, ofte ville vært involvert som diskusjonspartner i saken og således i mange tilfelle uansett hatt informasjon om og være kjent med sakene. Codex minner også om at den mest sentrale klientinformasjonen i slike saker kommer i posten, f.eks. legejournaler.
Codex viser til at alternativet til fremsendelse av inngående mail i perioden vil være en forvalter som da i utgangspunktet vil ha full tilgang til hele postboksen, jf. advokatforskriftens § 7-8. Rettslig sett minner Codex også om at det er Tilsynsrådet som er instansen som skal vurdere advokaters taushetsplikt og klienthåndtering.
Codex vil på bakgrunn av ovenstående mene at Datatilsynets argumenter er tilbakevist, og saledes fortsatt hevde at vilkårene for innsyn er oppfylt.
Personopplysningsforskriften § 9-2 bokstav b)
Subsidiært vil Codex anføre at innsynet også må vurderes etter personopplysnings-forskriften § 9-2 bokstav b). A ble suspendert da selskapet ikke fikk svar på helt sentrale og konkrete spørsmål knyttet til en vurdering av oppsigelse eller avskjed. Selskapet hadde også dokumentert grunnlag for å anta at det ble gitt feil opplysninger.
Ovennevnte bestemmelse ga således rett til innsyn da selskapet hadde begrunnet mistanke om at As bruk av mailen kunne medføre «grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed». Det var helt åpenbart at A i den foreliggende situasjon kunne drive akkvisisjon, noe som etter selskapets syn da også senere er dokumentert. Dette ville utvilsomt i seg selv utgjøre oppsigelsesgrunn. Det samme gjelder ulovlig oversendelse av klientinformasjon, selskapets materiale mv. for bruk i ny, konkurrerende virksomhet.
I denne sammenheng er det også relevant a minne om at arbeidstaker har plikt til å sørge for at selskapet får tilgang til materialet med tjenstlig innhold, noe selskapet i foreliggende situasjon hadde begrunnet mistanke om ikke ville bli overholdt, jf. ovenstående. Det skal legges til at den velbegrunnede (dokumenterte) mistanken om grove brudd på plikter, både som ansatt partner og aksjonær, knyttet seg bl.a. til korrespondanse med advokater/eiere av et konkurrerende firma (som nevnt er mye av korrespondansen senere fremlagt/provosert fremlagt og viser at selskapets mistanker var korrekte).
Overtredelsesgebyr
Det foreligger ikke noe brudd på personopplysningsloven med forskrifter, og det er således ikke grunnlag for å ilegge noe gebyr. Dersom tilsynet etter fornyet vurdering, eller nemda i et vedtak, mot formodning skulle mene at forskriften er overtrådt, vil Codex subsidiært påeke følgende:
Med hensyn til vurderingskriteriene etter personopplysningsloven § 46 annet ledd, vil Codex vise til at det forelå en meget spesiell og akutt situasjon. Selskapet måtte umiddelbart foreta tiltak. Tiltaket var etter selskapets oppfatning en riktig balansering av personvernhensyn (begrenset innsyn i en begrenset periode vs. fullt innsyn i postboksen i en lengre periode ved forvalterordningen), sett opp imot å sikre ivaretakelse av klientene (bl.a. unngå rettstap). Dette er en annen situasjon enn å vurdere innsynet i ettertid kun med utgangspunkt i personvernhensyn. Codex er således av den oppfatning at tilsynets forslag for en akseptabel løsning ikke ivaretar klientene godt nok.
Det er den som driver advokatvirksomhet som må foreta vurderingen og innestå for den. En advokat kan ikke unndra seg sitt advokatansvar. Codex, som driver advokatvirksomhet, kan da ikke straffes for å i sin avveining av interessene legge avgjørende vekt på å ivareta klientenes interesser.
Codex mener at det uansett ikke er grunnlag for å ilegge noe overtredelsesgebyr og vil på bakgrunn av ovenstående hevde at vilkårene for innsyn er oppfylt. Det foreligger ikke noe brudd på personopplysningsforskriften slik situasjonen er vurdert og håndtert. Det er heller ikke grunnlag for å ilegge gebyr.
4 Datatilsynets vurdering
Datatilsynet tok opp to forhold med Codex. Det ene var innsyn i epost i form av videresending av alle innkommende eposter. Det andre var avslutning av epostkassen. Epostkassen ble avsluttet, i betydningen deaktivert, 2. juli 2015, en måned etter at arbeidsforholdet ble brakt til opphør gjennom avskjed. Gitt omstendighetene i denne saken fant Datatilsynet ikke grunn til å reagere særskilt på det. Det er videresendingen av epostene som utgjør saken, og som tilsynet har funnet grunn til å reagere på.
Var innsyn i form av videresending av alle innkomne e-poster ulovlig?
Etter personopplysningsforskriften § 9-2 første ledd bokstav a) kan en arbeidsgiver gjennomsøke, åpne eller lese arbeidstakers e-post «når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten». Codex har begrunnet videresendingen og dermed det fortløpende innsynet med behovet for å ivareta klientene.
Etter tilsynets syn er det klart nok at den interessen som Codex søkte å ivareta må anses som en legitim interesse som kan gjøre innsyn berettiget. Spørsmålet er imidlertid om fortløpende videresending og innsyn i epostene var innenfor det reglene tillater.
Fortløpende videresending av alle innkommende eposter representerer et betydelig inngrep i retten til privatliv og korrespondanse. I realiteten griper man inn i en elektronisk postforsendelse ved å fange den opp på vei inn og sende den et annet sted.
Videresending er også inngripende fordi det i praksis finner sted innsyn i alt som måtte komme, uten noen form for begrensning ut fra formål og relevans. Innsynet vil da naturlig nok omfatte eventuell privat korrespondanse og annen korrespondanse som ikke har noe bakgrunnen for innsynet å gjøre.
Videresending som en måte å skaffe seg innsyn på, er enn videre særlig inngripende fordi denne metoden avskjærer arbeidstakers mulighet til å overvære innsynet. Etter personopplysningsforskriften § 9-3 skal arbeidstakeren så langt mulig få anledning til å være til stede. Tilstedeværelse er ment å bidra til gjennomsiktighet ved innsynet og at arbeidstakeren kan kontrollere gjennomføringen, herunder få vite hvilke eposter arbeidsgiver gjør seg kjent med samt bidra med å identifisere de eposter som er relevante for å unngå overdrevne og unødvendige innsyn.
I PVN-2015-14 behandlet Personvernnemnda en sak om videresending av epost og overtredelsesgebyr. Datatilsynet la i den saken til grunn at selv om det kunne være rettslig adgang til å foreta enkeltstående innsyn, var det uansett ikke adgang til å foreta innsyn ved fortløpende videresending av alle eposter ettersom det innebærer en kontinuerlig overvåking av arbeidstakers elektroniske utstyr, jf. personopplysningsforskriften § 9-2 siste ledd. Personvernnemnda sluttet seg til denne rettsforståelsen.
I lys av Personvernnemndas avgjørelse synes det å være avklart at videresending av epost, som en måte å skaffe seg innsyn på, ligger utenfor det personopplysningsforskriften § 9-2 gir adgang til. I så fall er det ikke nødvendig å vurdere vilkårene i § 9-2 første ledd nærmere.
Dersom man skulle mene at innsyn i form av videresending ligger innenfor det reglene åpner for – nemnda anmodes her om å bidra til avklaring – må det vurderes om vilkårene var oppfylt. Det springende punktet slik tilsynet ser det er i så fall om videresending og dermed fortløpende innsyn var nødvendig i forskriftens forstand.
Datatilsynet kan ikke se at videresending var nødvendig. Som fremholdt i vedtaket måtte en fraværsmelding med uttrykkelig beskjed om at eposten ikke blir lest og hvor man kan henvende seg, anses som tilfredsstillende. Codex' anførsel om at det var fare for at klienter ikke ville få med seg fraværsmeldingen, fremstår som en overdreven risikovurdering. Til dette kommer også at det sentrale i den situasjonen man sto i, må være å identifisere saker hvor det er fare for rettstap. Det vil typisk si saker hvor preklusive frister nærmer seg. For å finne frem til disse sakene må man først og fremst gå gjennom saksmappene og ikke minst samarbeide med A som kjenner sakene. A var den nærmeste til å peke ut saker hvor det var påkrevd å handle raskt. Det gjorde han også idet han pekte ut en sak med ankefrist. Fortløpende videresending av alle eposter kan ikke anses som det sentrale virkemiddelet for å hindre rettstap i den situasjonen man sto i.
I tillegg til fraværsmelding kunne man eventuelt også gjennomført enkeltstående innsyn i epostkassen gjennom perioden med mulighet for A til å være til stede for å identifisere de eventuelle eposter som krevde oppfølging.
Etter Datatilsynets vurdering valgte Codex den mest inngripende fremgangsmåten, og det uten å forhåndsvarsle og diskutere med A. Tilsynet mener man klart gikk utover det som var nødvendig ut fra situasjonen.
Codex har anført at advokatfirmaet plikter å ivareta klientenes interesser, og at denne plikten må gå foran de personvernhensyn som gjør seg gjeldende. Datatilsynet mener Codex ikke kan bli hørt med en slik anførsel. De interesser man søkte å ivareta var klart berettigede, og vurderingen koker i så fall ned til om Codex' fremgangsmåte var proporsjonal og nødvendig. Reglene kan ikke tolkes slik at fordi formålet var å ivareta klientene, så gjelder ikke kravet til nødvendighet eller at kravet må lempes betraktelig fordi personvernhensyn uansett må vike.
Codex har også anført at alternativet var oppnevningen av forvalter etter domstolloven § 228 som ville trådt inn for A og fått tilgang til epostene. Anførselen antas å bygge på det synspunkt at dersom Codex ikke kunne foreta videresending og dermed fortløpende innsyn, så ville vilkårene for oppnevning av forvalter være oppfylt. Datatilsynet kan ikke se at det er riktig. Tilsynsrådet kan oppnevne forvalter der en advokatvirksomhet ikke blir forvaltet på en betryggende måte og det er nødvendig for å avverge skade eller tap for klientene. Tilsynet kan ikke se at oppnevning av forvalter ville stå og falle på om Codex kunne videresende alle epostene eller ikke. Det må ha vært fullt mulig å utøve advokatvirksomheten forsvarlig med henblikk på å unngå rettstap for de klienter A hadde, uten fortløpende videresending av alle eposter.
Codex har enn videre vist til at A har «trukket» klagen sin og at dette må forstås slik at A og Codex i det vesentlige er enige om at videresending og fortløpende innsyn var innenfor regelverket. Datatilsynet bør ikke da ikke overprøve.
Til dette vil Datatilsynet bemerke at As tilbaketrekking av klagen fremstår motivert av at partene har forlikt den underliggende arbeidsrettslige tvisten. Så sent som dagen før tilbaketrekkingen sendte A epost om nye regelbrudd han mente Datatilsynet måtte trekke inn i saken mot Codex. Det er lite rimelig å sammenlikne dette med en situasjon hvor den ansatte og arbeidsgiver er enige om at vilkårene for innsyn er oppfylt – slike saker vil normalt ikke komme til Datatilsynet. Tilbaketrekkingen er uten betydning for Datatilsynets vurdering av om reglene er etterlevd og om det bør reageres med overtredelsesgebyr. Tilbaketrekkingen av klagen endrer ikke det som har skjedd og vurderingen av at det var ulovlig. As klage til Datatilsynet gjorde tilsynet kjent med hva som hadde skjedd. Videresendingen av epost opphørte den 1. juni 2015. På det tidspunktet var ikke saksbehandlingen startet ordentlig opp, og Datatilsynet kunne valgt å avslutte saken fordi forholdet var brakt i orden. Tilsynet valgte likevel å forfølge saken fordi det mente at det forela et alvorlig regelbrudd hvor overtredelsesgebyr var en nærliggende reaksjon. At Datatilsynet ila overtredelsesgebyr var ikke av hensyn til A eller fordi A ønsket det. Overtredelsesgebyr er et virkemiddel som skal bidra til mer effektiv regeletterlevelse. Overtredelsesgebyr har ikke som formål å bøte på en urett som har rammet den registrerte. Det forhold at A, etter at vedtak om overtredelsesgebyr er fattet, trekker sin klage, kan ikke tillegges betydningen i denne saken.
Til orientering nevnes at Datatilsynet flere ganger har opplevd at personer sender klage til i forbindelse med arbeidsrettslige tvister, og at de ønsker å trekke saken når den underliggende tvisten har løst seg. Tilsynets opplevelse er at Datatilsynets tilsynskompetanse av og til blir brukt i et større spill i slike saker.
Som en ny anførsel har Codex i klagen gjort gjeldende at innsyn var berettiget etter personopplysningsforskriften § 9-2 første ledd bokstav b). Datatilsynet har vanskelig for å se at Codex kan bli hørt med denne anførselen. For det første er det noe påfallende at anførselen først fremsettes i forbindelse med klagen. Det samsvarer ikke med det som ble opplyst å være grunnlaget for innsynet til A og Datatilsynet. For det andre er det vanskelig å se at de grunner Codex har påberopt gjorde det nødvendig med videresending og fortløpende innsyn i alt som kom inn etter suspensjonen. Om det var begrunnet mistanke om at A hadde brukt epostkassen på en kvalifisert illojal måte, kunne det gitt grunnlag for et enkeltstående innsyn med forhåndsvarsel og anledning til tilstedeværelse. Fortløpende videresending og innsyn i alt som kom av eposter etter suspensjonen (på dette tidspunktet hadde A mistet sin tilgang til epostkassen) kan vanskelig bedømmes som nødvendig og proporsjonalt.
Ileggelse av overtredelsesgebyr
Ved overtredelse av personopplysningsloven eller personopplysningsforskriften, kan Datatilsynet i medhold av personopplysningsloven § 46 ilegge overtredelsesgebyr.
Ileggelse av overtredelsesgebyr beror i utgangspunktet på en skjønnsmessig helhetsvurdering, men annet ledd legger føringer på skjønnsutøvelsen ved å trekke frem momenter som skal ha særlig vekt.
Adgangen til å ilegge overtredelsesgebyr er gitt som et virkemiddel for å sikre effektiv etterlevelse og handhevelse av personopplysningsloven. Datatilsynet har benyttet overtredelsesgebyr i flere saker som gjelder brudd på personopplysningsforskriften kapittel 9 om innsyn i e-post mv.
Etter norsk rett er overtredelsesgebyr ikke å anse som en straff, men en administrativ sanksjon. Det må imidlertid antas at overtredelsesgebyr er å anse som straff etter EMK art 6, og i samsvar med Høyesteretts praksis, jf Rt 2012 s 1556 med videre henvisninger, legger derfor Datatilsynet til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge gebyr. Saksforholdet og spørsmålet om å ilegge overtredelsesgebyr vurderes med utgangspunkt i dette beviskravet.
I nærværende sak er det ikke uklart hva som har skjedd. Datatilsynet mener det er grunn til å se alvorlig på overtredelsen av personopplysningsforskriften § 9-2 i denne saken. Det har funnet sted kontinuerlig innsyn i alle eposter som har kommet inn gjennom en periode på to uker. Det vernet bestemmelsen er ment å gi med tanke på personlig integritet, privatliv og konfidensialitet, er klart satt til side. Saken preges etter tilsynets syn av et typisk trekk som går igjen i mange av de saker Datatilsynet ser, nemlig at arbeidsgiver i en konfliktfylt situasjon velger å gå unødvendig inngripende til verks.
Etter tilsynets syn er måten innsynet ble gjennomført på også sterkt problematisk med tanke på den konfidensialitet som skal være mellom advokat og klient. I selskapets redegjørelse er det vist til diverse rutiner mv. på arbeidsplassen som illustrerer at det ikke er uvanlig at andre får innblikk i klientens sak. Tilsynet er ikke uenig i at en viss deling av informasjon internt vil kunne skje uten hinder av taushetsplikt. Det vises her til gjennomgangen i NOU 2015:3 punkt 15.3.1.3. Utgangspunktet er likevel at den enkelte advokat har taushetsplikt overfor sine kollegaer og andre, og at det ikke kan anses fritt frem å dele opplysninger internt på jobben. Problemet her er at Codex ved sin beslutning om å sperre A ute fra sin epostkasse og videresende all epost til en annen advokat grep inn i en konfidensialitetssfære mellom advokat og klient. Fra klientenes ståsted er epost en kommunikasjonskanal direkte til sin advokat. Klienter kan opplagt ha en berettiget forventning om at advokaten ikke deler alt man kommuniserer om med andre i firmaet, og at visse ting behandles strengt fortrolig. Når verken A eller klientene i utgangspunktet er kjent med at epostene går til en annen person, er det problematisk.
Overtredelsen skjerpes ved at innsyn ble iverksatt uten forutgående varsel eller avklaring med A, jf personopplysningsforskriften § 9-3.
Videresendingen – og dermed det fortløpende innsynet – var forsettlig, og fremstår overveid. Tilsynet mener det er grunn til å rette bebreidelser mot selskapets handlinger.
Codex har anført at innsynet ble gjennomført i en spesiell og krevende situasjon, tiltaket ble kun foretatt av hensyn til klientene og er ikke til selskapets fordel.
Tilsynet finner ikke å kunne legge noen avgjørende vekt på dette i den samlede vurderingen. Selv om den underliggende konflikten mellom selskapet og A skapte en vanskelig situasjon og formålet bak handlingene i seg selv var saklig, gikk selskapet klart utover det som er rettslig tillatt. Som nevnt må selskapet bebreides for dette. Etter tilsynets syn ligger det dessuten en kommersiell interesse i å betjene klientene. Det er således vanskelig å se at ikke selskapet hadde noen form for egeninteresse i sine handlinger.
Som nevnt spiller det positivt inn at Codex informerte A etter noen dager og etterhvert gjorde nærmere undersøkelser med hensyn til lovligheten. I den samlede vurdering har dette likevel ikke tungtveiende betydning.
Datatilsynet mener etter en samlet vurdering at overtredelsesgebyr bør ilegges. De prevensjonshensyn som overtredelsesgebyr er tuftet på taler også for bruk av en slik reaksjon.
Når det gjelder gebyrets størrelse skal i utgangspunktet de samme momenter som ved vurderingen av om gebyr skal ilegges, tillegges vekt. De forhold Datatilsynet har pekt på over taler for et gebyr av en viss størrelse. Særlig gjelder det at overtredelsen må betraktes som en alvorlig krenkelse av de interesser loven er satt til å verve og at det grunn til å bebreide selskapet.
Gebyret må naturlig nok fastsettes skjønnsmessig. Gebyret bør settes sa høyt at det får den nødvendige virkning også utover den konkrete saken. Samtidig må gebyrets størrelse stå i et rimelig forhold til overtredelsen og virksomheten.
I følge resultatregnskapet for 2014 var driftsinntektene drøye 61 millioner kroner med et årsresultat på drøye 12 millioner. Selskapet må anses å ha god økonomi.
Datatilsynet har i flere saker ilagt overtredelsesgebyr for brudd på reglene for innsyn mv. Etter tilsynets praksis vil utgangspunktet for gebyrets størrelse være 75 000 kroner. Det samme bør gjelde her.
Tilsynet kan ikke se at det er noe særlig ved denne saken som tilsier høyere eller lavere gebyr. Samlet sett finner tilsynet at et overtredelsesgebyr på kr 75.000 er passende. Gebyrets størrelse er på linje med Datatilsynets tidligere praksis, jf også PVN-2015-14. Denne avgjørelsen fra nemnda bør være førende for at overtredelsesgebyr også bør ilegges i nærværende sak.
5 Personvernnemndas syn
Nemnda skal vurdere Codex’ videresending av en advokat/partners epost og det ilagte overtredelsesgebyr. Codex skriver at kapittel 9 i personopplysningsforskriften gjelder for A og anser seg således som arbeidsgiver for A. Nemnda legger dette til grunn.
Codex videresendte alle innkommende eposter til en ansatt advokat/partner (A) som var suspendert, til en annen advokat i firmaet. Dette ble gjort uten å varsle A. Videresendingen hadde vart i fire dager da Codex underrettet A og videresendingsperioden var på totalt to uker.
Personvernnemnda behandlet en sammenlignbar sak i PVN-2015-14 Viken Økonomi. Nemnda konkluderte i PVN-2015-14 med at virksomheten hadde foretatt innsyn i ansattes epost gjennom videresendingen, og at det forelå brudd på personopplysningsforskriften § 9-2, samt §§ 9-3 og 9-4.
Automatisk videresending av epost utgjør innsyn i e-post og må vurderes etter §§ 9-2 og 9-3. I denne saken foreligger et åpenbart brudd på § 9-3. Videre mener nemnda at Codex kunne ivaretatt hensynet til klientene og firmaet på andre og lovlige måter.
Personvernnemnda skal videre vurdere Datatilsynets ileggelse av overtredelsesgebyr, herunder gebyrets størrelse.
Det følger av personopplysningsloven § 46 annet ledd at ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på de momenter som er nevnt i bokstavene a til h.
Etter bokstav a) skal det legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. I denne saken besto overtredelsen i å foreta innsyn i en ansatts epostkasse uten å følge reglene i § 9-3. Etter nemndas syn representerer dette krenkelser av de interesser som personopplysningsloven verner.
Når det gjelder graden av skyld, jf § 46 bokstav b), skal det ved vurderingen legges vekt på om overtredelsen er resultat av et uhell eller en planmessig, villet handling. I denne saken har klager med viten og vilje gjennomført innsynet.
Videre skal det ifølge § 46 bokstav c) legges vekt på om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen. Dette var en bevisst og planmessig utført handling, jf drøftelsen under punkt b) ovenfor, og spørsmålet om klager kunne forebygget hendelsen synes mindre aktuelt.
Ifølge § 46 bokstav d) skal det vektlegges om overtredelsen er begått for å sikre overtrederens interesser. Nemnda er av den oppfatning at når klager gjør dette for å ivareta klientenes interesser så er det også gjort for å sikre overtrederens interesser. Nemnda kan imidlertid ikke se at dette momentet har stor betydning for utmåling av gebyret i denne saken.
Videre skal det legges vekt på om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen, jf bokstav e). Nemnda kan ikke se at klager har hatt noen særlig fordel av dette.
Det følger av § 46 bokstav f) at det skal vektlegges om det foreligger gjentakelse. Etter nemndas oppfatning var overtredelsen en enkeltstående handling.
Det skal legges vekt på om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff, jf bokstav g). Det er ikke tilfelle i denne saken.
Endelig skal det legges vekt på overtrederens økonomiske evne, jf bokstav h). Klagers økonomi oppgis å være god.
Nemnda finner at utmålingen er lagt på linje med Datatilsynets gebyrpraksis og ser ikke grunn til å endre gebyrets størrelse.
6 Vedtak
Klagen tas ikke til følge.
Oslo, 25. november 2016
Eva I E Jarbekk
Leder