Home
ANONYMISERT VERSJON

PVN-2023-10 Klage over valg av reaksjon ved konstatert brudd på personopplysningssikkerheten - avvisning av klage

Datatilsynets referanse: 
23/00582-2

Personvernnemndas vedtak 7. november 2023 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin, Malin Tønseth)

Saken gjelder klage fra A på Datatilsynets vedtak 20. februar 2023 der tilsynet avsluttet en sak om X kommunes brudd på personopplysningssikkerheten uten å ilegge kommunen en reaksjon.

Sakens bakgrunn

I forbindelse med kommunens innhenting av en juridisk vurdering fra kommunens advokat, ble det sendt en e-post til ordføreren som inneholdt fødselsnummeret til to innbyggere. Ved registrering av e-posten ble det ikke oppdaget at den inneholdt fødselsnummer, slik at dokumentet i sin helhet ble lagt ut på kommunens digitale postjournal og dermed offentlig tilgjengelig 22. mars 2022.

Ordføreren fikk 6. april 2022 melding fra berørte innbyggere om at fødselsnummer var lagt ut på kommunens postjournal. Ordføreren ga beskjed til personvernombudet i kommunen, og dokumentet ble umiddelbart skjermet fra kommunens postliste. Fra beskjeden ble gitt til dokumentet var skjermet tok det ca. 20 minutter. Opplysningene hadde da ligget tilgjengelig i postjournalen i 16 dager.

Kommunen sendte avviksmelding til Datatilsynet 21. april 2022, jf. personvernforordningen artikkel 33, og redegjorde for at dette innebar brudd på offentlighetsforskriften § 7 d om tilgjengeliggjøring av dokument på Internett.

I brev fra Datatilsynet til kommunen 25. april 2022 bekrefter tilsynet at de har mottatt meldingen om brudd på personopplysningssikkerheten. I brevet redegjør Datatilsynet for at tilsynet ikke er forpliktet til å følge opp alle meldinger om brudd, men om tilsynet velger å følge opp avviksmeldingen, vil kommunen få beskjed. Datatilsynet opplyser også at dersom en berørt klager på forholdet, vil tilsynet være forpliktet til å behandle klagen.

A, som var en av de berørte i avvikssaken, klaget til Datatilsynet 7. februar 2023.

I brev til A 20. februar 2023 opplyser Datatilsynet at saken om X kommune sitt brudd på personopplysningssikkerheten er avsluttet fra tilsynets side og skriver:

«Vi har forståelse for at publisering av et slikt dokument på kommunens postliste kan virke belastende for deg, men finner avviket ikke så alvorlig at vi finner det hensiktsmessig å gå videre med klagen, jf. forordningen artikkel 57 nr. 1 bokstav f». I brevet blir A opplyst om at Datatilsynets avgjørelse er et enkeltvedtak som kan påklages, jf. forvaltningsloven § 28.

A framsatte rettidig klage på Datatilsynets avgjørelse 1. mars 2023. Tilsynet vurderte klagen, men opprettholdt sin avgjørelse. Saken ble oversendt Personvernnemnda 3. mai 2023. I brev fra nemnda 4. mai 2023 fikk A anledning til å komme med kommentarer. A har gitt kommentarer i brev 29. mai 2023.

Saken ble behandlet i nemndas møte 7. november 2023. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin og Malin Tønseth. Utredningsleder Anette Klem Funderud var også til stede.

Kort om Datatilsynets vedtak

Datatilsynet har ferdigbehandlet meldingen om bruddet på personopplysningssikkerheten. Avvikssaken overfor X kommune er dermed avsluttet.

Avviket ble ikke ansett for å være så alvorlig at tilsynet fant det hensiktsmessig å gå videre med klagen, jf. forordningen artikkel 57 nr.1 bokstav f. Det er vist til at avviket bare omfatter to personer.

I oversendelsesbrevet viser Datatilsynet til Personvernnemndas sak PVN-2020-07 og uttaler:

«Slik Datatilsynet ser det er det ikke klagerett knyttet til Datatilsynets valg om ikke å gi noen reaksjoner i denne saken. Dette er ikke en avgjørelse som retter seg mot klager og er heller ikke bestemmende for vedkommende sine rettigheter og plikter, jf. forvaltningsloven § 2.»

Kort om As syn på saken

Dokumentet som ble lagt ut på kommunens postliste var et konfidensielt dokument med hennes og hennes manns personopplysninger. Kommunen har åpenbart ikke lest eller sjekket hva de har lagt ut. Det er alvorlig.

Kommunen har oversittet fristen på 72 timer, som kommunen har til å melde avvik til Datatilsynet etter å ha fått kjennskap til bruddet, med 16 dager. Avviket ble oppdaget 6. april 2022, men meldt til Datatilsynet 21. april 2022, først etter at hennes mann ringte kommunen og spurte om når avviket ble meldt inn.

De kan ikke lenger leve som før og opplever å bli straffet for en feil som kommunen har gjort.

Selv om det bare er to personer som er berørt av avviket har det fått store konsekvenser for dem, men ingen konsekvenser for X kommune som har brutt personvernregelverket.

Personvernnemndas vurdering

Saken gjelder klage på Datatilsynets avgjørelse om å avslutte en sak om brudd på personopplysningssikkerheten uten å gi pålegg eller ilegge sanksjoner.

Datatilsynet har konkludert med at kommunens publisering av fødselsnumre i postjournalen på kommunens nettside representerte et brudd på personopplysningsloven og personvernforordningen, men anså ikke avviket for å være så alvorlig at tilsynet fant det hensiktsmessig «å gå videre med klagen». Nemnda tolker dette slik at Datatilsynet mener at det aktuelle bruddet ikke er så alvorlig at det er nødvendig å beslutte noe korrigerende tiltak, jf. personvernforordningen artikkel 58 nr. 2.

A har dermed fått medhold i at kommunen har brutt plikten til å sikre konfidensialiteten ved sin behandling av personopplysningene.

Spørsmålet for nemnda blir om Datatilsynets avgjørelse, om ikke å gi noe pålegg eller ilegge noen sanksjon for dette bruddet, er en avgjørelse som er bestemmende for rettigheter og plikter for den/de registrerte og dermed et enkeltvedtak som de registrerte kan påklage.

Datatilsynet har i sin avslutning av saken overfor A i brev 20. februar 2023 opplyst at avgjørelsen om å avslutte saken mot X kommune uten å beslutte noe korrigerende tiltak, er et enkeltvedtak som kan påklages, jf. forvaltningsloven § 28. Datatilsynet har med andre ord selv oppfattet dette som et enkeltvedtak som gir klagerne de rettigheter som følger av forvaltningslovens regler om enkeltvedtak. Datatilsynets vurdering av dette forholdet er ikke nærmere redegjort for, og kan, slik nemnda ser det, ikke være avgjørende for nemndas vurdering av dette spørsmålet. Datatilsynet uttaler videre ved oversendelsen av saken til nemnda at det ikke er klagerett knyttet til Datatilsynets valg om ikke å gi noen reaksjoner til den behandlingsansvarlige i saken.

At Datatilsynet valgte ikke å beslutte noe korrigerende tiltak, verken i form av irettesettelser, pålegg eller ileggelse av overtredelsesgebyr, er ikke en avgjørelse som retter seg mot A og er heller ikke bestemmende for hennes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd. Datatilsynet har derfor ikke truffet et enkeltvedtak som gir A klagerett. Nemnda viser til PVN-2019-12 og PVN-2020-07 hvor nemnda la tilsvarende rettsoppfatning til grunn.

Vilkårene for å behandle klagen fra A er dermed ikke oppfylt og saken skal avvises.

Vedtaket er enstemmig.

Vedtak

Klagen avvises.

 

Oslo, 7. november 2023

Mari Bø Haugstad

Leder