Personvernnemndas avgjørelse av 23. januar 2018 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Hans Marius Graasvold, Line Coll, Hans Marius Tessem, Ellen Blinkenberg)
1. Innledning
Saken gjelder om X kommune har brutt personopplysningsloven da de journalførte og lagret en talebeskjed en privatperson (anonymisert til «A») hadde lagt igjen på rådmannens telefonsvarer.
Saken gjelder videre klage over avslag på denne personens begjæring om innsyn i saksdokumenter og logger i kommunens saksbehandlingssystem.
2. Sakens faktum og bakgrunn
A ringte rådmannen i X kommune den 13. oktober 2015 og la igjen en beskjed på telefonsvareren hvor hun ba om at rådmannen tok kontakt med henne i anledning en varslingssak:
«Hallo, det er A som ringer. Jeg har sendt noen mailer til deg i anledning av, av den varslingssaken og jeg, jeg lurer på en måte når jeg kan forvente å få svar på, på det. Samtidig så har jeg også noen innsynsbegjæringer som, som jeg ser nå ligger på postjournalen hvor navnet mitt ikke på noen som helst måte er skjerma, og jeg registrerer også at det er sendt innsynsbegjæringer knytta til, til mine saker, så jeg på en måte lurer litt på hvordan du tenker i forhold til det. Det hadde vært fint om du kunne ta kontakt med meg på (telefonnummer)…, jeg gjentar (telefonnummer)…. Jeg tror på en måte at det kunne være fornuftig at vi, at vi tok et møte og snakka litt om disse tingene. Greit. Hei.»
Meldingen ble registrert inn i kommunens saksbehandlingssystem som talemelding og senere også som nedskrevet dokument. Etter anmodning fra A ble dokumentet (både talemeldingen og den nedskrevne versjonen) unntatt offentlighet. Kommunen unntok dokumentet offentlighet med hjemmel i offentleglova § 24 andre ledd.
I desember 2015 ba A om innsyn i talemeldingen. Hun ba samtidig om en begrunnelse for hvorfor talemeldingen var journalført og hvorfor kommunen hadde benyttet offentleglova § 24 annet ledd som hjemmel for å unnta den fra offentligheten. A fikk innsyn i talemeldingen 9. mai 2016. Hun fikk også, muligens på et senere tidspunkt, opplyst at den aktuelle unntakshjemmelen ble benyttet fordi talemeldingen inneholdt en referanse til varsel om lovbrudd. A ba også om innsyn i loggen for dette dokumentet i saksbehandlingssystemet (ePhorte), for å få vite hvem som hadde hatt tilgang til dokumentet, samt for å få vite når dokumentet ble unntatt offentlighet. A ble ikke gitt innsyn i loggen i saksbehandlingssystemet.
A klaget over X kommunes håndtering av saken 18. mai 2016 og mente at behandlingen av personopplysninger om henne, særlig journalføringen og den videre behandlingen av hennes talemelding, var i strid med personopplysningsloven. Hun ba om at Datatilsynet påla sanksjoner etter personopplysningsloven § 46 og navnga tre personer som hun mente var ansvarlig for bruddene.
Datatilsynet sendte 5. oktober 2016 et pålegg til kommunen om en redegjørelse. Kommunen ble bedt om å redegjøre for 1) bakgrunnen (formålet) for at kommunen oppbevarer telefonopptaket og hvilket rettslig grunnlag kommunen har for å lagre dette, 2) hvor lenge det ville være aktuelt for kommunen å oppbevare opptaket, og 3) hvem i kommunen som har tilgang til opptaket.
Kommunen ga sin redegjørelse i brev 28. oktober 2016.
Den 4. november 2016 sendte kommunen et brev til A med svar på ulike henvendelser de hadde mottatt på e-post i september og oktober. I brevet gir de blant annet avslag på As begjæring om innsyn i korrespondansen mellom kommunen og Datatilsynet vedrørende spørsmål om innsynsrett i loggen i saksbehandlingssystemet, under henvisning til at kontakten mellom kommunen og Datatilsynet på dette punktet har vært muntlig.
I e-post 20. november 2016 kommenterte A kommunens redegjørelse.
I e-post 21. november 2016 påklaget A kommunens avslag på innsynsbegjæring etter personopplysningsloven § 18.
Den 31. januar 2017 traff Datatilsynet vedtak i saken. Datatilsynet fant at behandlingen av personopplysninger hadde vært lovlig og viste til at journalføring av talemeldingen skjedde med hjemmel i lov. Tilsynet mente videre at opplysningene ikke var lagret lenger enn det som var nødvendig for å gjennomføre formålet med behandlingen, jf. personopplysningsloven § 28. Endelig fant tilsynet at det avslaget på innsyn som kommunen hadde gitt var i tråd med personopplysningsloven § 18.
Den 12. februar 2017 ba A om innsyn i sakens dokumenter. Hun ba samtidig om referat fra muntlige samtaler Datatilsynet hadde hatt med kommunen under saksforberedelsen, samt opplyst når de hadde funnet sted og hvem som hadde deltatt. A fikk oversendt sakens dokumenter og fikk samtidig opplyst at Datatilsynet ikke hadde ført referater over muntlige samtaler i saken, og at tilsynet antok at kommunens kontakt med tilsynet hadde skjedd gjennom tilsynets veiledningstjeneste på nettet.
Den 16. februar 2017 klaget A over Datatilsynets avgjørelse, samt saksbehandlingstiden.
Datatilsynet har vurdert klagen og har opprettholdt sin avgjørelse. Saken ble oversendt Personvernnemnda, som mottok saken 7. juli 2017. Partene ble orientert om dette i brev fra nemnda, med frist for uttalelse innen 8. august 2017. I brev 26. september 2017 ba nemnda om en uttalelse fra X kommune. Kommunen ga sin uttalelse i brev datert 16. oktober 2017. Ett av nemndas medlemmer, Gisle Hannemyr, ba i brev 31. oktober 2017 om ytterligere opplysninger fra X kommune. Kommunen svarte på anmodningen ved brev 1. november 2017. A har gitt ytterligere kommentarer i e-post 15. november 2017.
3. As anførsler
Datatilsynet må ta stilling til om X kommune har brutt personopplysningsloven ved å registrere talemeldingen, ved den påfølgende behandlingen av talemeldingen (lagringen av denne), samt ved avslaget på den etterfølgende innsynsbegjæringen.
Forutsatt at det foreligger brudd på loven, anmodes det om at Datatilsynet ilegger sanksjoner i form av overtredelsesgebyr for de ansvarlige i kommunen, samt for foretaket som sådan. Det bes om en vurdering av om forholdet i saken er straffbart etter personopplysningsloven. I så fall ønskes forholdet anmeldt. A ber også om at dokumentet (talemeldingen) slettes fra saken.
Kommunen har ikke hjemmel til å registrere den innringte talemeldingen i saksbehandlingssystemet. A har heller ikke samtykket og det foreligger ikke grunnlag etter personopplysningsloven § 8 til å registrere meldingen. Meldingen har ikke vært nødvendig for saksbehandlingen i kommunen og representerer ikke opplysninger som omtalt i forvaltningsloven § 11 d. Kommunen kan da ikke lagre lydopptaket uten As samtykke. Talemeldingen er nå uansett over ett år gammel og har likevel ikke vært vurdert fjernet.
Når kommunen oversender rutiner for registrering av dokumenter i saksbehandlingssystemet, så unnlater de å fortelle at de eneste to talemeldingene som er registrert er talemeldinger fra to varslere.
Ved å registrere talemeldingen i kommunens saksbehandlingssystem, ble denne gjort tilgjengelig for alle saksbehandlerne i kommunen. Etter anmodning fra A ble talemeldingen unntatt fra offentlighet. Kommunen brukte offentleglova § 24 annet ledd som hjemmel. Dokumentet ble først unntatt fra offentlighet den 17. november 2015. Frem til da hadde alle kommunens 600 saksbehandlere hatt tilgang til dokumentet. Det er uklart hvor mange som benyttet seg av denne tilgangen. Kommunen har heller ikke villet svare på dette. Kommunen har ikke meldt denne tilgangen som avvik inn til Datatilsynet, slik personopplysningsloven krever.
Kommunen redegjør i sitt brev for hvem som har tilgang til talemeldingen. Saksbehandler i kommunen, B, som skriver redegjørelsen, har ingen tilknytning til varslersaken. De opplysningene hun gir er også feil. Det stemmer ikke at det bare er de fire personene hun oppgir som har tilgang til lydfilen. Blant annet må det legges til grunn at minst følgende personer – som ikke arbeider på arkivet – har, eller har blitt gitt, tilgang, i tillegg til de personer B navngir:
- C (personalsjef)
- D (kommunalsjef)
- E (kommunalsjef)
- F (journalist)
I desember 2015 ba A om innsyn i talemeldingen. Hun ba også om en redegjørelse for valg av unntaksbestemmelse i offentleglova, samt en begrunnelse for hvorfor talemeldingen ble registrert inn. X kommune er både etter offentleglova og personopplysningsloven pliktig til å gi innsyn. Etter personopplysningsloven skal innsyn gis innen 30 dager. A fikk innsyn først 9. mai 2016, nesten 6 måneder etter at begjæringen var sendt. A fikk ingen redegjørelse for valg av unntaksbestemmelse eller noen begrunnelse for hvorfor talemeldingen var registrert.
A har også bedt om innsyn i loggføringen i saksbehandlingssystemet for å bringe klarhet i hvem som har hatt faktisk tilgang til dokumentet, samt når dokumentet ble unntatt fra offentlighet. Kommunen har ikke villet gi slikt innsyn til tross for at den registrerte meldingen gir opplysninger om at A er varsler i en svært betent sak. Ved ikke å gi innsyn har kommunen brutt personopplysningsloven § 16, § 18 og § 24.
At kommuneadvokaten overfor kontrollutvalget i kommunen hevder at dokumenter knyttet til varslinger slettes etter personopplysningsloven § 28 stemmer ikke med hvordan talemeldingen er behandlet i denne saken. Den registrerte talemeldingen har aldri vært nødvendig for saksbehandlingen av denne saken. I stedet for å slette meldingen får en av de ansatte i kommunen beskjed om å skriftliggjøre lydfilen. Transkriberingen av lydfil til et word-dokument blir gjort av en saksbehandler som ikke skulle hatt innsyn i varslersaken.
I andre varslersaker har kommunen uttalt at slike dokumenter ikke kan registreres og vist til personopplysningsloven § 28. Kommunen er derfor ikke konsekvent i sin håndtering av slike dokumenter.
4. X kommunes anførsler
Telefonhenvendelsen er journalført og arkivert med hjemmel i lov om arkiv §§ 1, 2a og 6, jf. forskrift om offentlig arkiv § 2-6. Det er innholdet i en henvendelse som er avgjørende for om den skal journalføres, ikke hvilken form den kommer i (papirpost, e-post eller talemelding på telefon).
Det er tre kriterier for journalføring: 1) dokumentet skal være eksternt, 2) det skal være gjenstand for saksbehandling, og 3) det skal ha verdi som dokumentasjon. Disse vilkårene anses oppfylt for den aktuelle talemeldingen.
Talemeldingen er levert i forbindelse med en varslingssak som er begrunnet, og det er bevaringsplikt på denne, jf. veiledningen til bevarings- og kassasjonsbestemmelser for fylkeskommunale og kommunale arkivskap etter 1950. Imidlertid er talemeldingen nedtegnet, jf. forvaltningsloven § 11d, og etter kommunens syn kan talemeldingen slettes når saken avsluttes.
De som har tilgang til talemeldingen er rådmannen og saksbehandler for talemeldingen, rådmannens sekretær, internrevisor og forvaltningsrevisor i Y kommunerevisjon. Sistnevnte reviderer saken talemeldingen hører til.
I tillegg har arkivarene i byarkiv og IT-driftsansvarlig tilgang på grunn av tjenstlige behov for tilgang for å ivareta jobben sin, jf. forvaltningsloven § 13 b nr. 3.
For øvrig vises det til vedlagte, relevante rutiner som er nedfelt i arkivplanen og vedtatt i formannskapet 16. oktober 2014.
5. Datatilsynets vurdering
Et offentlig organ skal arkivere alle dokumentene som blir til som ledd i virksomheten dersom de har verdi som dokumentasjon eller er gjenstand for saksbehandling. Det er det offentlige organet som skal foreta denne vurderingen av om et dokument er arkivpliktig eller ikke. Tilsynet registrerer at det foreligger en uenighet mellom kommunen og A om telefonopptaket har betydning for den verserende varslingssaken.
Etter personopplysningsloven § 28 første ledd skal ikke behandlingsansvarlig lagre personopplysninger lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen. Personopplysningene skal deretter slettes, med mindre det i arkivloven eller annen lovgivning er bestemt at de skal oppbevares.
Datatilsynet finner ikke grunn til å overprøve kommunens vurdering av at de aktuelle dokumentene denne saken gjelder fremdeles har verdi som dokumentasjon. Datatilsynet kan derfor ikke se at det foreligger noe brudd på forbudet i personopplysningsloven § 28 første ledd.
Det er ikke anført, og tilsynet kan heller ikke se, at opplysningene i talemeldingen er å betrakte som sterkt belastende, jf. personopplysningsloven § 28 tredje ledd. Denne bestemmelsen kommer derfor uansett ikke til anvendelse.
Etter personopplysningsloven § 18 annet ledd skal den registrerte ha innsyn i opplysninger som den behandlingsansvarlige behandler om den registrerte. Når det ikke foreligger noen dokumenter å gi innsyn i, foreligger det ikke brudd på innsynsretten etter personopplysningsloven.
Personopplysningsloven § 18 gir heller ikke innsynsrett i logger som genereres i kommunens saksbehandlingssystem.
Etter tilsynets vurdering har X kommune ikke behandlet personopplysninger i strid med personopplysningslovens bestemmelser i dette tilfellet.
6. Personvernnemndas syn
Innledningsvis bemerkes at Datatilsynet omtaler sitt vedtak 31. januar 2017 som en avgjørelse om avslutning av sak, samt synes å forutsette at dette innebærer at det ikke er truffet et vedtak. Slik Personvernnemnda ser det har Datatilsynet kommet til at den beskrevne behandlingen av personopplysninger i X kommune var i overensstemmelse med personopplysningsloven og har følgelig ikke gitt pålegg i medhold av personopplysningsloven § 46. Denne unnlatelsen kan påklages etter personopplysningsloven § 42 fjerde ledd. Datatilsynet har kommet til at det avslaget som kommunen hadde gitt var i tråd med personopplysningsloven § 18. Dette er etter Personvernnemndas syn et enkeltvedtak som kan påklages etter forvaltningsloven, jf forvaltningsloven § 28, jf. Ot.prp. nr. 92 (1998-99) s. 132.
Personvernnemnda har for noen av spørsmålene som denne klagen reiser, delt seg i et flertall og et mindretall. Det vil bli gjort rede for mindretallets vurderinger der dette passer inn i fremstillingen.
Nemnda vil først ta stilling til behandlingsgrunnlaget for registrering av talemeldingen, jf. personopplysningsloven § 8. Talemeldingen inneholder ikke sensitive personopplysninger slik dette er legaldefinert i personopplysningsloven § 2 nr. 8. Det faktum at talemeldingen inneholdt en referanse til varsel om lovbrudd, er etter nemndas oppfatning ikke tilstrekkelig til at opplysningen kan anses å være sensitiv etter personopplysningsloven § 2 nr. 8 bokstav b. Opplysningene kan dermed behandles dersom ett av vilkårene i personopplysningsloven § 8 er oppfylt.
I foreliggende sak er den aktuelle behandlingen av personopplysningene «fastsatt i lov». Selve registreringen av talemeldingen skjer med hjemmel i arkivloven §§ 1, 2a og 6, jf. forskrift om offentlig arkiv § 2-6. Det fremgår av arkivloven § 1 at lovens formål blant annet er å sikre arkiv som inneholder viktig forvaltningsmessig dokumentasjon. I § 2 bokstav a er dokumentbegrepet definert slik:
«dokument: ei logisk avgrensa informasjonsmengd som er lagra på eit medium for seinare lesing, lyding, framsyning eller overføring»
Det innebærer at også en talemelding på telefonen er å anse som dokument i arkivlovens forstand.
Forskrift om offentlige arkiv § 2-6 lyder slik:
«§ 2-6. Journalføring og anna registrering
Eit offentleg organ skal ha ein eller fleire journalar for registrering av dokument i dei sakene organet opprettar. I journalen skal ein registrere alle inngåande og utgåande dokument som etter offentleglova § 4 må reknast som saksdokument for organet, dersom dei er gjenstand for saksbehandling og har verdi som dokumentasjon.»
Det betyr at alle inngående og utgående dokumenter som er gjenstand for saksbehandling og har verdi som dokumentasjon skal journalføres. Personvernnemnda har ikke detaljert informasjon om den omtalte varslersaken og kan derfor heller ikke vurdere hvilken betydning den aktuelle talemeldingen har for den videre saksbehandlingen i kommunen. Av samme grunn kan nemnda ikke gjøre seg opp en mening om verdien av talemeldingen som dokumentasjon for ettertiden. Personvernnemnda legger, som Datatilsynet, til grunn at det er det offentlige organet som skal foreta vurderingen av om et dokument er arkivpliktig eller ikke. Det foreligger etter dette behandlingsgrunnlag etter personopplysningsloven § 8, jf. arkivloven §§ 1, 2a og 6, jf. forskrift om offentlig arkiv § 2-6.
Det neste spørsmålet som klager reiser, er om den fortsatte lagringen av talemeldingen er i overensstemmelse med personopplysningsloven § 28. Det følger av denne bestemmelsen at den behandlingsansvarlige ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Personvernnemnda forstår det slik at selve varslersaken ikke er avsluttet og at opplysningene fortsatt er relevante for den videre saksbehandlingen. Kommunen har også opplyst at talemeldingen (i nedskrevet stand) er bevaringspliktig, men at selve talemeldingen (lydfilen) vil bli slettet når saken er avsluttet i kommunen. Etter nemndas vurdering er dette i tråd med bestemmelsene i personopplysningsloven § 28.
Nemnda går etter dette over til å vurdere As innsynsrett etter personopplysningsloven § 18. Innledningsvis bemerkes at A har bedt om innsyn dels etter offentleglova, dels forvaltningsloven og dels etter personopplysningsloven. Hennes innsynsbegjæringer er dels imøtekommet og dels avslått. Personvernnemnda legger til grunn at det denne klagen til nemnda gjelder, er Datatilsynets avslag på innsyn i kommunikasjonen mellom tilsynet og X kommune i anledning As begjæring om innsyn i loggen i kommunens saksbehandlingssystem, samt avslaget på innsyn i den samme loggen. Mindretallet oppfatter at klagen fra A også gjelder spørsmålet om brudd på personopplysningsloven § 18 annet ledd bokstav b, samt §§ 13 og 14, jf personopplysningsforskriften § 2-6. Mindretallets vurdering av dette vil bli gjort nærmere rede for nedenfor.
A har i henvendelsen til Datatilsynet også omtalt sin begjæring om innsyn i selve talemeldingen, som hun mener hun fikk alt for sent og har vist til personopplysningsloven § 16. Nemnda legger til grunn at det rettslige grunnlaget for at dokumentet er unntatt offentlighet finnes i henholdsvis forvaltningsloven og offentleglova. Kravet om innsyn i dokumentet må følgelig også avgjøres med utgangspunkt i de samme lovene, og ikke med utgangspunkt i personopplysningslovens bestemmelser. Nemnda går derfor ikke nærmere inn på dette spørsmålet.
Når det gjelder begjæringen om innsyn i kommunikasjonen mellom Datatilsynet og kommunen, legger nemnda til grunn, i tråd med de opplysninger som er gitt både fra Datatilsynet og kommunen, at denne kommunikasjonen har skjedd muntlig og at det følgelig ikke er nedtegnet opplysninger som det kan gis innsyn i. A kan da åpenbart ikke få medhold i denne delen av klagen.
Når det gjelder As krav om innsyn i loggen for dokumentet med den nedskrevne talemeldingen, må dette avgjøres med utgangspunkt i personopplysningsloven § 18 første ledd. Det følger av denne bestemmelsen at enhver som ber om det, har rett til å få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar. Det kan også kreves mer detaljert informasjon om en bestemt type behandling i tråd med oppregningen i første ledd bokstav a til f. Etter bokstav f har enhver krav på å få opplyst «om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker».
Personvernnemnda har kommet til at A ikke kan høres med sitt krav om innsyn i loggen for dokumentet. Nemnda legger for det første til grunn at ordlyden i seg selv trekker i retning av at det i vilkåret «utlevert» ligger et krav om at personopplysningene har funnet veien ut av den behandlingsansvarliges organisasjon. Det fremstår som nokså anstrengt å karakterisere det som utlevering at ansatte hos den behandlingsansvarlige skaffer seg tilgang til personopplysninger som er til behandling i organisasjonen.
Forarbeidene til bestemmelsen gir ingen sikker avklaring på dette tolkningsspørsmålet, men noen holdepunkter finnes: I personopplysningsloven § 2 nr. 2 inngår «utlevering» i den ikke-uttømmende opplistingen av bruksmåter for personopplysninger, og bestemmelsen bygger på EU-direktivet artikkel 2 b, hvor «dissemination or otherwise making available» er en av bruksmåtene. I merknadene til personopplysningsloven § 2 nr. 2 i Ot.prp. nr. 92 (1998-1999) på s. 102 sies følgende om hva som utgjør behandling av personopplysninger i lovens forstand:
«Uttrykket «behandling av personopplysninger» favner videre, og omfatter enhver form for formålsrettet håndtering av personopplysninger, f.eks i form av innsamling, registrering, systematisering, oppbevaring, tilpasning eller endring, utvelging, søking, overføring eller annen videreformidling, sammenstilling eller samkjøring, blokkering, sperring eller sletting.»
Det er nærliggende å oppfatte «overføring eller annen videreformidling» som en utdypning fra lovgivers side om hva som nærmere ligger i kravet om utlevering i personopplysningsloven § 2 nr. 2, og denne anvisningen må også legges til grunn ved tolkningen av vilkåret «utlevert» i personopplysningsloven § 18 første ledd bokstav f. Av de samme forarbeidene fremgår det videre at personopplysningsloven § 18 gjennomfører EU-direktivet artikkel 21 nr. 3 og artikkel 12 a første og andre strekpunkt. Artikkel 21 nr. 3 henviser til direktivets artikkel 19 nr. 1, som direkte gjelder regler om meldeplikt. Det følger av artikkel 19 nr. 1 bokstav d at meldingen skal inneholde informasjon om «the recipients or categories of recipients to whom the data might be disclosed». I den danske versjonen av artikkel 19 nr. 1 bokstav d er «disclosed» oversatt til «videregives», og i den svenske versjonen brukes «lämnas ut». I norsk oversettelse er uttrykket "videreformidlet til" brukt. Det følger av forarbeidene at retten til informasjon som er nedfelt i personopplysningsloven § 18 i hovedsak er den samme som den informasjonen som etter personopplysningsloven § 32 skal meldes til Datatilsynet. Dette innebærer at de tolkningsbidrag som kan utledes av EU-direktivets artikkel 19 nr. 1 bokstav d også har betydning for tolkningen av personopplysningsloven § 18 første ledd bokstav f. Etter nemndas oppfatning trekker disse i retning av at den befatning som ansatte hos den behandlingsansvarlige har med personopplysningene, ikke omfattes av vilkåret «utlevert».
Den samme lovtolkningen er lagt til grunn av Justisdepartementets lovavdeling, som i JDLOV-2014-4248 Innsynsrett etter personopplysningsloven – «registersnoking» uttaler følgende om personopplysningsloven § 18 første ledd bokstav f:
«Slik vi forstår begrepet utlevering, forutsetter det imidlertid at opplysningene formidles til personer eller institusjoner utenfor den behandlingsansvarliges organisasjon, og ikke til medarbeidere som utfører oppgaver på vegne av den behandlingsansvarlige».
Lovavdelingen legger videre til grunn i denne uttalelsen at en rett til informasjon om innholdet i en innsynslogg heller ikke kan forankres i den utvidede innsynsretten som tilkommer registrerte, og som er nedfelt i personopplysningsloven § 18 tredje ledd, jf. første ledd. Konklusjonen er den samme for registrertes rett på innsyn etter personopplysningsloven § 18 andre ledd. Den registrerte kan ikke kreve informasjon fra innsynsloggen.
Nemnda har etter dette kommet til at A ikke kan gis medhold i sitt krav om innsyn i loggen for dokumentet.
Når det gjelder den videre forståelsen av hva denne klagen gjelder, har nemnda delt seg i et flertall og et mindretall.
Nemndas flertall (bestående av Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Line Coll og Ellen Blinkenberg) begrenser sine vurderinger til personopplysningsloven § 18 første ledd. Dette samsvarer med hvordan Datatilsynet har forstått As klage og det rettslige grunnlaget som Datatilsynet har vurdert klagen på grunnlag av. Nemndas flertall mener at verken faktum, eller den innsendte klagen i denne saken, gir grunnlag for å vurdere andre mulige innsynsretter etter § 18, eller mulige brudd på personopplysningsloven §§ 13 og 14, jf. personopplysningsforskriften § 2-6.
Mindretallet (bestående av Gisle Hannemyr og Hans Marius Tessem) vurderer klagen slik at klager har ønsket innsyn etter hele § 18, samt at det er påklaget at Datatilsynet ikke har vurdert hvorvidt kommunen har brutt personopplysningsloven i sin håndtering av klagers personopplysninger.
Mindretallet vil peke på at det av meldingen som er journalført klart fremgår at det er snakk om en «varslingssak» og at A er varsler. Kommunen har ikke bestridt dette, og har overfor nemnda bekreftet at meldingen fortsatt er gjenstand for saksbehandling og at den har verdi som dokumentasjon (brev fra kommunen til Personvernnemnda, datert 16. oktober 2017).
Av kommunens egne rutiner for varsling (mottatt av nemnda 1. november 2017) fremgår det (side 4) at:
«Varslerens identitet vil alltid bli behandlet som en fortrolig opplysning. Personvernet til varsleren og den det varsles om skal ivaretas.»
Rutinene (side 2) viser til personopplysningsloven § 11 («krever at opplysningene som behandles ikke skal være mer detaljerte enn nødvendig») og § 28 («Forbud mot å lagre unødvendige personopplysninger»).
Det er viktig å gi varslere det vern de her gis. Selv om det å være en varsler ikke er en sensitiv personopplysning (jf. personopplysningsloven § 2 nr. 8) er en opplysning om at en identifiserbar person er en varsler sterkt belastende for vedkommende. Det finnes eksempler på at det å være identifisert som varsler har medført en betydelig ulempe: Varslere har hatt problemer med å få jobb, og de har blitt trakassert på andre måter. Varslere har en berettiget interesse i å sikre at den behandlingsansvarlige sørger for tilfredsstillende informasjonssikkerhet i samband med at det behandles opplysninger der de er identifisert.
Av personopplysningsloven § 18 annet ledd bokstav b framgår det at den registrerte har rett til opplysninger om sikkerhetstiltakene ved behandlingen, så langt innsyn ikke svekker sikkerheten.
A har, med rette, stilt spørsmål ved informasjonssikkerheten ved behandlingen av talemeldingen der hun identifiseres som varsler. A har særlig ønsket innsyn i hvorvidt meldingen var tilfredsstillende sikret mot «registersnoking», eller om det, slik A har anført, var slik at alle kommunens 600 saksbehandlere hadde tilgang til hennes identitet før meldingen ble skjermet ved at den ble unntatt offentlighet.
Ved ikke å etterkomme As innsynsbegjæring hva angår informasjonssikkerheten mener mindretallet at X kommune har brutt personopplysningsloven § 18 annet ledd bokstav b.
Det samme mindretallet mener videre at det foreligger brudd på personopplysningsloven §§ 13 og 14, jf. personopplysningsforskriften § 2-6.
Kommunen har avslått å gi A innsyn vedrørende informasjonssikkerheten og kommunen har heller ikke ønsket å meddele Personvernnemnda sitt syn på de brudd på informasjonssikkerheten slik som dette framgår av As anførsler (kommunens syn på dette ble eksplisitt etterspurt i brev fra Personvernnemnda til kommunen 31. oktober 2017, men noe svar på dette finnes ikke i kommunens tilsvar datert 1. november 2017).
Selv om dette, grunnet manglende svar fra kommunen, er mindre belyst enn ønskelig, er mindretallet kommet til at man i fravær av svar fra kommunen må legge til grunn As anførsler om manglende informasjonssikkerhet til grunn.
A har videre anført at den manglende informasjonssikkerheten, og særlig den omstendighet at flere personer enn det som kommunen selv har anført har hatt tilgang til meldingen innebærer et avvik i forhold til kommunens egne internkontrollrutiner som burde vært meldt inn til Datatilsynet. Også på dette punkt, i fravær av svar fra kommunen, har mindretallet funnet å legge As anførsler til grunn.
Mindretallet har derfor kommet til at:
- Kommunen har ikke oppnådd tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet hva angår As identitet som varsler (personopplysningsloven § 13).
- Kommunen har ikke etterlevd bestemmelsene om å dokumentere avvik ved ikke å ha dokumentert og varslet om det avvik som oppsto da flere personer enn det som kommunen selv har hatt oversikt over fikk tilgang til meldingen (personopplysningsloven § 14, jf. personopplysningsforskriften § 2-6).
En samlet nemnd bemerker at A også har klaget over saksbehandlingstiden hos Datatilsynet. Nemnda kan kun behandle klager over enkeltvedtak etter forvaltningsloven og avgjørelser Datatilsynet fatter i medhold av personopplysningsloven §§ 9, 12, 27, 28, 30, 33, 34, 35, 44, 46 og 47, jf personopplysningsloven § 42 fjerde ledd.
As klage over saksbehandlingstiden skal etter dette avvises.
Vedtaket er utformet i tråd med flertallets syn. Vedtakets punkt 2 er enstemmig.
7. Vedtak
- Klage over Datatilsynets avgjørelse tas ikke til følge.
- Klage over saksbehandlingstiden avvises.
Oslo, 23. januar 2018
Mari Bø Haugstad
Leder