Home
ANONYMISERT VERSJON

PVN-2017-07 Arbeidsgivers bruk av innsamlede opplysninger til et nytt formål - overtredelsesgebyr

Datatilsynets referanse: 
15/01628-11/HTE

Personvernnemndas avgjørelse av 20. juni 2017 (Mats Wilhelm Ruland, Bjørnar Borvik, Gisle Hannemyr, Hans Marius Graasvold, Line Coll, Hans Marius Tessem)

 

1 Innledning

Saken gjelder klage på vedtak om overtredelsesgebyr for kobling av GPS-logg fra kjøretøy mot en ansatts timelister.

2 Sakens bakgrunn

En ansatt i selskapet X klaget X inn for Datatilsynet i brev av 15. desember 2015. X produserer pukk og asfalt og har blant annet egne masseuttak. Den ansatte klaget på at arbeidsgiver sammenstilte data fra GPS-loggen fra det kjøretøyet den ansatte kjørte og den ansattes timelister. Den ansatte mente at dette ble gjort i strid med arbeidsmiljølovens og personopplysningslovens regler.

I brev av 18. februar 2016 ba Datatilsynet arbeidsgiver om en redegjørelse i saken og svar på en rekke spørsmål.

I brev av 16. mars 2016 besvarte virksomheten tilsynets brev.

I brev av 15. juni 2016 ba tilsynet om ytterligere opplysninger.

Den 29. juni 2016 ble tilsynets spørsmål besvart av arbeidsgiver. Det ble også vedlagt kopi av dom fra Nedre Romerike tingrett av 31. mai 2016, hvor retten fant at oppsigelsen av den ansatte var saklig. Arbeidsgiveren ble frifunnet for den ansattes krav om at oppsigelsen skulle kjennes ugyldig.

Datatilsynet varslet vedtak om overtredelsesgebyr i brev av 8. september 2016.

Arbeidsgiver kommenterte tilsynets varsel om vedtak i brev av 3. oktober 2016.

Datatilsynet fattet vedtak om overtredelsesgebyr i brev av 9. desember 2016:

Med hjemmel i personopplysningsloven § 46 første ledd ilegges X AS et overtredelsesgebyr til statskassen, pålydende kr. 100.000 — hundre tusen kroner — for å ha sammenstilt GPS-data og innleverte timelister uten et rettslig grunnlag, jf. personopplysningsloven § 11 bokstav a), jf. § 8, og i strid med formålsprinsippet, jf personopplysningsloven § 11 bokstav c.

Vedtaket ble påklaget av arbeidsgiveren den 5. januar 2017.

Saken ble oversendt Personvernnemnda 14. mars 2017, som mottok saken 22. mars 2017. Klager ble orientert om dette i brev fra nemnda datert 23. mars 2017, med frist til uttalelse innen 19. april 2017.

Klager har ikke kommentert saken innen fristen.

3 Klagers anførsler

Arbeidsgiveren har erkjent at bedriften har foretatt stikkprøver, det vil si sammenholdt opplysninger i timelistene med GPS-loggen, for å sjekke om yrkesbilene blir brukt i strid med internt regelverk og skatteetatens regler. Arbeidsgiver har oppdaget noe misbruk ved slike stikkprøver. Arbeidsgiver erkjenner at denne fremgangsmåten er lovstridig.

Bedriften er ikke pålagt å ha tillitsvalgte, så kontrollformålet er ikke drøftet med tillitsvalgte.

Arbeidsgiver anfører at tilsynets beskrivelse av den ansattes situasjon er å trekke det for langt. Virksomheten hevder videre at tilsynet tar feil når de mener den ansatte ble stilt overfor en «ensidig makt». Arbeidsgiveren mener den ansatte er en meget oppgående person, som tok en kalkulert og bevisst risiko da han førte timer på tidspunkter han ikke jobbet. Arbeidsgiver legger mye frihet og tillit hos sine ansatte. Det var mer tilfeldighet enn noe annet som førte til at den ansatte ble avslørt, og ikke sammenstillingen av GPS-loggen opp mot den ansattes timeliste.

Retten tilkjente ikke den ansatte oppreisning, noe retten ville gjort hvis den mente at den ansatte hadde blitt påvirket negativt av innsynet i GPS-loggen. Arbeidsgiver har heller ikke oppnådd en fordel ved å foreta innsyn i GPS-loggen.

Virksomheten mener at den ansatte ikke har blitt krenket. Tvert imot har den ansatte bevisst utførte handlinger som har medført økonomisk tap for arbeidsgiver.

Virksomheten anfører til slutt at overtredelsesgebyret er satt for høyt, det vises til at de har innrømmet skyld og at bruddet ikke har medført noen ulempe for arbeidstaker. Det vises også til at virksomheten har skjerpet rutinene ytterligere for å forhindre slike fremtidige episoder.

4 Datatilsynets vurdering

Datatilsynet har lagt til grunn at arbeidsgiver har sammenstilt GPS-loggen opp mot innleverte timelister, uten at den ansatte har hatt en rimelig forventning om at GPS-loggen skulle benyttes til et slikt kontrollformål. Tilsynet har vist til tingrettens dom:

Under hovedforhandlingen ble det avklart at det er enighet mellom partene om at arbeidsgiver ved avdelingsleder B i forkant av møtet 25. august 2015, og uten As samtykke, hadde undersøkt GPS-loggers fra As firmabil den 28-30. juli 2015. Bakgrunnen var at arbeidsgiver hadde en berettiget mistanke om at A hadde ført timer selv om hadde fravær fra arbeidet. I henholdt til personalhåndboken punkt 7.6 er GPS-loggen ment å være et verktøy, for å lette føringen av kjørebok. Det er på denne bakgrunn ubestridt at X AS har brukt personopplysningene til A i GPS-loggen til et annet formål enn det som var opplyst.

X AS har i retten opplyst at det i ettertid har endret håndboken slik at formålet også er angitt å være kontroll av ansattes timeføringer i tilfeller der det oppstår mistanke om feilføring av timer.

Datatilsynet har lagt til grunn at arbeidsgiver har sammenstilt GPS-data og innleverte timelister uten et rettslig grunnlag, jf. personopplysningsloven § 11 bokstav a), jf. § 8, og i strid med formålsprinsippet, jf personopplysningsloven § 11 bokstav c.

Tilsynet har videre lagt til grunn at virksomheten behandlet personopplysningene for å få avklart om den ansatte var på jobb, og at det var i virksomhetens interesse at behandlingen fant sted. Tilsynet deler ikke virksomhetens syn på at sammenstillingen ikke ble gjort i dennes interesse. Sammenstillingen ble gjort for å bekrefte den mistanken som hadde etablert seg. Det er etter tilsynets syn uten betydning om resultatet av sammenstillingen bekreftet mistanken eller ikke, eller om resultatet ble ført som bevis i en senere rettstvist.

I vurderingen av om overtredelsesgebyr skal ilegges, og ved utmåling av dette, skal det særlig legges vekt på momentene som er listet opp i personopplysningslovens § 46 litra a) til h):

a) hvor alvorlig overtredelsen har krenket de interesser loven verner

Datatilsynet har lagt vekt på at det her er tale om en behandling som ligger utenfor hva den registrerte har en rimelig forventning om hva personopplysningene skal kunne brukes til. Virksomheten har ved sammenstillingen brutt formålsprinsippet, som innebærer at innsamling av opplysninger skal skje til uttrykkelig angitte og saklige formål, og at senere behandling ikke må være uforenlig med disse formål.

Handlingen har videre krenket prinsippet om medbestemmelse.

I formildende retning tar tilsynet hensyn til at personopplysningene som ble sammenstilt var knyttet til utførelsen av den ansattes arbeidsoppgaver, og at virksomheten ikke foretok en systematisk sammenstilling av opplysninger fra GPS-enheten og innleverte timelister.

b) graden av skyld

Spørsmålet om en virksomhet kan sammenstille GPS-data med innleverte timelister har vært behandlet tidligere av Datatilsynet. Se blant annet PVN-2011-04, se også Rt-2013-143.

Plikten til å sette seg inn i de lover og regler som regulerer ens virksomhet står sentralt i norsk rett. Denne plikten er særlig fremtredende for den type overvåking av ansatte som virksomheten gjennomførte i denne saken.

Etter Datatilsynets vurdering har virksomheten klart overtrådt et regelverk som denne kjente eller burde ha kjent til. De har med vilje brukt informasjon for å oppnå et eget formål til ulempe for den ansatte. Det at virksomheten selv karakteriserer forholdet som bagatellmessig kan de ikke bli hørt med.

Virksomheten har fått bekreftet mistanken på en rettstridig måte. Det setter den ansatte i en tilnærmet umulig situasjon. Vedkommende var ikke varslet om dette kom til å skje, det var heller ikke rutinene internt. Resultatet er at ansatte i denne situasjonen stilles overfor ensidig makt fra en arbeidsgiver noe reglene i personopplysningsloven og til dels arbeidsmiljøloven er ment å beskytte arbeidstakere imot. Det taler for at det i denne saken reageres med overtredelsesgebyr.

c) om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen

Datatilsynet legger til grunn at kontrolltiltaket verken har blitt drøftet med de tillitsvalgte eller informert de ansatte. Det har følgelig ikke blitt utarbeidet retningslinjer (skriftlige rutiner) for hvordan en sammenstilling av GPS-data og innleverte timelister skulle skje, jf. personopplysningsforskriften § 3-1. Tilsynet registrerer dog at virksomheten i ettertid har inntatt slike rutiner i handboken.

Det fremstår som klart at overtredelsen ville vært unngått dersom virksomheten hadde tatt hensyn til de ansattes medbestemmelsesrett og personvern ved valg av fremgangsmåte for å fremskaffe de ønskede personopplysningene.

d) om overtredelsen er begått for å fremme overtrederens interesser

Virksomheten sammenstilte opplysninger fra GPS-enheten og innleverte timelister for å avdekke om den ansatte hadde krav på den lønnen han krevde. Overtredelsen må etter tilsynets vurdering sies å være begått for å fremme virksomhetens interesse.

e) om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen

Etter Datatilsynets vurdering ligger det i sakens natur at virksomheten har oppnådd en fordel som gikk på bekostning av den ansattes personvern. Fordelen består i at virksomheten har fått avklart om den ansatte hadde et rettmessig krav på den aktuelle lønnen eller ikke.

f) om det foreligger gjentakelse

Etter det Datatilsynet er kjent med er det ikke tale om gjentakelse.

g) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handler på vegne av denne, blant annet om noen enkeltperson blir ilagt straff

Det er ikke aktuelt for Datatilsynet å ilegge andre reaksjoner enn overtredelsesgebyr for denne overtredelsen.

h) overtrederens økonomiske evne

Ved vurdering av om overtredelsesgebyr skal ilegges skal det sees hen til overtreders økonomiske situasjon. Virksomhetens økonomiske evne må etter årsregnskapet for regnskapsåret 2015 anses som god.

Tilsynet har understreket at reglene om erstatning i personopplysningsloven § 49 og overtredelsesgebyr i personopplysningsloven § 46 er forskjellige og skal ivareta ulike hensyn. Selv om retten ikke tilkjente erstatning i saken anerkjenner den likevel tilsynets adgang til å ilegge overtredelsesgebyr i saken.

Overtredelsesgebyrets størrelse er i tråd med tilsynets praksis.

5 Personvernnemndas syn

Problemstillingen for Personvernnemnda er om arbeidsgiver skal ilegges overtredelsesgebyr for brudd på grunnkravene til behandling av personopplysninger i lovens § 11 bokstav a, jf. § 8 og § 11 bokstav c. Videre skal nemnda vurdere gebyrets størrelse.

Vilkårene for behandling av personopplysninger fremgår personopplysningsloven § 11, jf § 8. Lovens grunnkrav til behandling av personopplysninger er regulert i personopplysningsloven § 11. Etter § 11 bokstav b skal den behandlingsansvarlige sørge for at personopplysningene som behandles bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. Videre følger det av § 11 bokstav c at den behandlingsansvarlige skal sørge for at personopplysningene som behandles ikke brukes til senere formål som er uforenlige med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker.

Datatilsynet har ilagt arbeidsgiver et gebyr på kr 100 000. Tilsynet har konkludert med at klagers sammenstilling av opplysninger fra GPS-loggen med innleverte timelister var uforenlig med det opprinnelige formålet og at behandlingen derfor var ulovlig på grunn av manglende behandlingsgrunnlag, jf. personopplysningsloven § 11 bokstav a), jf. § 8, samt § 11 bokstav c).

Kontrolltiltak i en bedrift må innføres i samsvar med arbeidsmiljøloven kapittel 9, og det må være åpenhet om at den planlagte bruken har et kontrollformål og tiltaket må drøftes med de tillitsvalgte. Nemnda kan ikke se at tiltaket er innført med et eksplisitt formål om å kontrollere de ansattes bruk av arbeidstiden. Arbeidsgiver har heller ikke fulgt de saksbehandlingsreglene som følger av arbeidsmiljøloven § 9-1 og § 9-2. Nemnda er enig med tilsynet i at bruken til kontrollformål er uforenlig med det opprinnelige formålet med innsamlingen. Arbeidsgiver har således handlet i strid med personopplysningsloven § 11 bokstav a), jf. § 8 og § 11 bokstav c). Nemnda oppfatter at dette heller ikke er bestridt av virksomheten.

Etter personopplysningsloven § 46 første ledd kan Datatilsynet pålegge den som har overtrådt personopplysningsloven eller forskrift i medhold av loven, å betale et overtredelsesgebyr til statskassen på inntil 10 ganger folketrygdlovens grunnbeløp (G).

Det følger av personopplysningsloven § 46 annet ledd at ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på de momenter som er nevnt i bokstavene a til h.

Etter bokstav a) skal det legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. I denne saken besto overtredelsen i å ha sammenstilt ulike innsamlede data uten et rettslig grunnlag, og sammenstillingen ble gjort for å kontrollere en ansatt. Etter nemndas syn representerer dette forholdsvis grove brudd på personopplysningsloven. Det var således tale om krenkelser av de interesser som personopplysningsloven verner, slik som grunnleggende personvernhensyn, herunder behovet for personlig integritet, jf. § 1 annet ledd.

Når det gjelder graden av skyld, jf. § 46 bokstav b), skal det ved vurderingen legges vekt på om overtredelsen er resultat av et uhell eller en planmessig, villet handling. Nemnda mener at skyldgraden i denne saken er høy. Da legger nemnda særlig vekt på at klager med viten og vilje utførte handlingene for å kontrollere om den ansatte faktisk jobbet på de tidspunkter han førte timer. Dersom en virksomhet har mistanke om at dette ikke er tilfelle, må bedriften likevel forholde seg til regelverket.

Videre skal det ifølge § 46 bokstav c) legges vekt på om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen. Virksomheten har opplyst at retningslinjer ikke forelå tidligere, men at rutiner nå er innført for å forhindre fremtidige episoder. Nemnda mener virksomheten kunne forebygget hendelsen ved retningslinjer. Nemnda slutter seg her til Datatilsynets vurdering og begrunnelse.

Etter § 46 bokstav d) skal det vektlegges om overtredelsen er begått for å sikre overtrederens interesser. Nemnda mener at når virksomheten gjør dette for å sjekke om arbeidstid overholdes, så er handlingen gjort for å sikre overtrederens interesser.

Videre skal det legges vekt på om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen, jf. bokstav e). Nemnda ser at virksomheten kan ha en berettiget interesse i å avdekke mulige brudd på føring av arbeidstimer. Nemnda finner imidlertid grunn til å understreke at et slikt kontrolltiltak også må vurderes med utgangspunkt i arbeidsmiljølovens bestemmelser.

Det følger av § 46 bokstav f) at det skal vektlegges om det foreligger gjentakelse. Det foreligger ikke holdepunkter for å tro at overtredelsen har skjedd flere ganger.

Det skal legges vekt på om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff, jf. bokstav g). Det er ikke tilfelle i denne saken.

Endelig skal det legges vekt på overtrederens økonomiske evne, jf. bokstav h). Nemnda legger til grunn at virksomhetens økonomi er god.

På bakgrunn av momentene ovenfor har nemnda kommet til at arbeidsgiver bør ilegges overtredelsesgebyr.

Utmåling av gebyret på kr 100 000 synes å ligge på linje med Datatilsynets gebyrpraksis i tilsvarende saker. Det vises her til Personvernnemndas tidligere avgjørelser jf. PVN-2015-08 og PVN-2016-06. Etter dette har nemnda ikke funnet grunn til å endre gebyrets størrelse.

Arbeidsgivers klage tas etter dette ikke til følge.

6 Vedtak

Klagen tas ikke til følge.

 

Oslo, 20. juni 2017

Mats Wilhelm Ruland

Leder