Personvernnemndas vedtak 16. april 2024 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin, Malin Tønseth)
Saken gjelder klage fra A på Datatilsynets avgjørelse 6. juli 2023 om ikke å gjøre nærmere undersøkelser av om Statistisk sentralbyrå (SSB) behandler personopplysninger ulovlig.
Sakens bakgrunn
A kontaktet Datatilsynet 19. februar og 4. mars 2023 og varslet om flere forhold ved SSBs behandling av personopplysninger som han mente var ulovlig. I henvendelsen omtaler A flere ulike eksempler som han oppfatter representerer brudd på personopplysningsloven og personvernforordningen. Han viser særlig til to forhold; at SSB innhenter all mobildata i Norge, samt at SSB selger taushetsbelagte personopplysninger identifisert med fødselsnummer.
I brev til A 6. juli 2023 opplyste Datatilsynet at hans henvendelse var behandlet, at tilsynet ikke anså det hensiktsmessig å gjøre nærmere undersøkelser i saken, samt at tilsynet anså det som lite sannsynlig at et eventuelt lovbrudd ville føre til korrigerende tiltak fra Datatilsynet. Tilsynet avsluttet derfor saken og viste til personvernforordningen artikkel 57 nr. 1 bokstav f. Det framkommer av brevet at beslutningen om ikke å gjøre nærmere undersøkelser kan påklages etter forvaltningsloven § 28.
A klaget på Datatilsynets avslutning av saken 25. juli 2023. I klagen framsettes også krav om sletting av opplysninger hos SSB, og hos andre behandlingsansvarlige som har mottatt opplysninger fra SSB.
Datatilsynet behandlet klagen og opprettholdt sin avgjørelse om å avslutte saken uten å gjøre nærmere undersøkelser.
Saken ble oversendt Personvernnemnda 22. september 2023. A ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med kommentarer. A har gitt sine kommentarer i e-post 4. april 2024.
Saken ble behandlet i nemndas møte 5. mars og 16. april 2024. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin, Hans Marius Tessem og Malin Tønseth. Utredningsleder Anette Klem Funderud og førstekonsulent Emilie Winther Løvli var også til stede.
Personvernnemndas vurdering
Nemnda vil først si noe om det rettslige grunnlaget for SSBs behandling av personopplysninger.
Enhver behandling av personopplysninger må ha et rettslig grunnlag for å være lovlig. Personvernforordningen artikkel 6 nr. 1 gir en uttømmende oversikt over hvilke rettslige grunnlag (hjemler) som kan ligge til grunn for en behandling av personopplysninger – og som kan begrunne et inngrep i personvernet.
Artikkel 6 nr. 1 bokstav c (oppfyllelse av en rettslig forpliktelse) og bokstav e (utøvelse av offentlig myndighet eller utførelse av en oppgave i allmennhetens interesse) er de mest relevante bestemmelsene for tilfellene der offentlige myndigheter gjør inngrep i borgernes personvern.
Ved anvendelse av de ovennevnte hjemlene, må det finnes en tilleggshjemmel i nasjonal rett eller i EU-retten som pålegger offentlige myndigheter plikter eller oppgaver de skal utføre. Dette følger av personvernforordningen artikkel 6 nr. 3 og betegnes som et supplerende rettslig grunnlag.
SSB er den sentrale myndigheten for utvikling, utarbeiding og formidling av offisiell statistikk i Norge, jf. statistikkloven § 17. SSBs oppgaver og myndighetsområde er nærmere regulert i statistikkloven med forskrift. SSBs adgang til å pålegge andre virksomheter å utlevere opplysninger til statistikkformål er regulert i statistikkloven § 10.
Personvernforordningen artikkel 5 omhandler prinsippene for behandling av personopplysninger. Det følger av artikkel 5 nr. 1 bokstav b at viderebehandling av personopplysninger for arkiv-, forsknings- eller statistikkformål i samsvar med artikkel 89 nr. 1, skal anses som forenlig med innsamlingsformålet. Videre følger det av fortalepunkt 50 at den behandlingsansvarlige ikke trenger et nytt rettslig grunnlag for å viderebehandle personopplysninger for forenlige formål.
Nemnda går så over til å vurdere om Datatilsynet i dette tilfellet, når de har avsluttet saken uten å gjøre nærmere undersøkelser, har oppfylt sin plikt som tilsynsorgan etter personvernforordningen. Datatilsynet har vist til at tilsynet anser det som lite sannsynlig at et eventuelt lovbrudd ville føre til korrigerende tiltak fra Datatilsynet, men har valgt ikke å ta stilling til dette før de avsluttet saken. Nemnda oppfatter dette som en avvisning av saken.
Datatilsynets oppgaver følger av personvernforordningen artikkel 57. Datatilsynet skal etter bestemmelsen behandle en klage som er inngitt av en registrert og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, jf. personvernforordningen artikkel 57 nr. 1 bokstav f.
Nemnda har i en rekke saker lagt til grunn at tilsynet har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever. I PVN-2017-09 uttaler nemnda:
«Personvernnemnda legger til grunn at Datatilsynet som tilsynsmyndighet etter personopplysningsloven, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. En slik prioritering forutsetter at Datatilsynet i det aktuelle tilfellet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst, jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse med hensyn til hvor grundig de vurderer lovligheten av den aktuelle behandlingen av personopplysninger framstår forsvarlig. Ved denne forsvarlighetsvurderingen vil personvernhensyn være sentralt jf. lovens formål i § 1.»
Basert på tilsynets nærmere undersøkelser – som kan variere mellom å være nokså overflatiske til å være inngående avhengig av sakens art mv. – har det vært nemndas syn at tilsynet må ta stilling til det materielle spørsmålet om behandlingen av personopplysninger har vært i strid med forordningen. Faktum kan være godt belyst eller det kan være dårlig belyst, men tilsynet må ta stilling basert på de undersøkelser av faktum som er gjort.
Dersom tilsynet har avsluttet saken uten å ta stilling til de materielle spørsmålene, har nemnda sett på dette som et vedtak om avvisning som gir den registrerte klagerett til nemnda. Nemnda har forankret dette i forvaltningsloven. Fortalepunkt 141 legger til grunn det samme:
«Enhver registrert bør ha rett til … effektivt rettsmiddel i samsvar med artikkel 47 i pakten … dersom tilsynsmyndigheten ikke reagerer på en klage, helt eller delvis avslår eller avviser en klage eller ikke griper inn når det er nødvendig for å verne den registrertes rettigheter.»
Den registrertes rett til å klage framgår av artikkel 77 nr. 1:
«Uten at det berører annen administrativ eller rettslig prøving, skal enhver registrert ha rett til å klage til en tilsynsmyndighet, særlig i den medlemsstat der vedkommende har sitt vanlige bosted, har sitt arbeidssted eller der den påståtte overtredelsen har funnet sted, dersom den registrerte anser at behandlingen av personopplysninger som gjelder vedkommende, er i strid med denne forordning.»
Spørsmålet i denne saken er hvilket handlingsrom tilsynet, når det mottar en henvendelse om mulige brudd på personopplysningsloven, har til å velge ikke å ta stilling til om den beskrevne behandlingen i henvendelsen er ulovlig eller ikke.
Det følger direkte av ordlyden i artikkel 77 nr. 1 at den registrerte må gjøre gjeldende at vedkommendes personopplysninger er behandlet på en måte som er i strid med forordningen. Det kan med andre ord utledes et krav om en viss konkretisering av det påstått ulovlige, og at det påstått ulovlige må ramme vedkommende som framsetter klagen En slik tolkning finner også støtte i fortalepunkt 141, hvor det blant annet fremgår at den registrerte har en rett til å klage til et nasjonalt tilsyn «... dersom vedkommende anser sine rettigheter i henhold til denne forordning for krenket ...» (nemndas kursivering).
I mangel av en viss konkretisering av at det er vedkommendes egne personopplysninger som er behandlet på en måte som er i strid med forordningen, kan det etter nemndas syn argumenteres for at henvendelsen ikke skal regnes som en klage som forplikter tilsynet til å gjøre visse undersøkelser, jf. artikkel 57 nr. 1 bokstav f og uttalelsen i fortalepunkt 141 om at «Undersøkelsen av en klage bør […] foretas i den utstrekning som er egnet i det enkelte tilfellet.» Saken kan da avvises av tilsynet med den begrunnelse at henvendelsen ikke kan regnes for å være en klage.
En tilsvarende tilnærming er lagt til grunn av Den europeiske menneskerettsdomstolen (EMD) i praksis under EMK artikkel 34 som bestemmer at klageretten bare tilkommer den som hevder å være et offer («a victim») for en krenkelse av en eller flere av rettighetene i konvensjonen. I storkammerdommen Tănase v. Moldova (application no. 7/08) av 27. april 2010 formulerte EMD et krav om at personen «must be directly affected by the impugned measure» for å bli regnet som et offer i konvensjonens forstand (avsnitt 104). Det ligger i dette at domstolen ikke vil foreta en vurdering av rettsregler eller praksis i seg selv, men bare ta stilling til om reglenes anvendelse eller den aktuelle praksisen rammet klageren direkte og på en slik måte at konvensjonen er krenket. EMD har riktignok etablert en viss åpning for at også potensielle ofre («potential victim») kan ha klagerett etter EMK artikkel 34. I storkammeravgjørelsen SENATOR LINES GmbH against Austria m.fl. (application no. 56672/00) av 10. mars 2004 uttalte EMD at klageretten i slike saker er betinget av at vedkommende presenterer «reasonable and convincing evidence of the likelihood that a violation affecting him personally will occur; mere suspicion or conjecture is insufficient ... » (s. 11). Den som har framsatt klagen må altså legge fram nokså gode holdepunkter for at vedkommende selv vil bli utsatt for krenkelser av konvensjonsrettigheter. Rene mistanker eller formodninger er ikke tilstrekkelig, og klager som bare bygger på slike vil bli avvist fra realitetsbehandling.
Selv om EMDs praksis under EMK artikkel 34 ikke er direkte relevant for tolkningen av hva som er «klage» i personvernforordningens forstand, så vil de samme hensynene som ligger til grunn for de begrensninger som er inntolket av EMD i artikkel 34 på tilsvarende måte og med samme tyngde gjøre seg gjeldende også ved tolkningen av hva som er klage etter forordningen. Håndhevingsorganene (EMD under EMK og de nasjonale tilsyns- og klageorganene under personvernforordningen) skal bare måtte befatte seg med reelle og virkelige saker fra personer som kan framlegge konkrete og tilstrekkelige holdepunkter for at det har skjedd krenkelser av vernede rettigheter. Framsettelser av mer eller mindre ubegrunnede mistanker eller påstander uten konkrete holdepunkter kan ikke utløse en plikt for Datatilsynet til å iverksette undersøkelser med sikte på å klarlegge om det har skjedd en behandling av personopplysninger i strid med forordningen. Nemnda har i flere saker lagt til grunn at det i utgangspunktet er klagers oppgave å redegjøre for saken og legge fram dokumentasjon for det forholdet som påklages, se blant annet PVN-2023-15 og PVN-2023-22.
I dette tilfellet hvor SSB driver en lovregulert virksomhet og hvor de opplysningene som er gitt i henvendelsen ikke i seg selv gir tilstrekkelig grunn til å mistenke en ulovlig behandling av personopplysninger, kan ikke henvendelsen anses som en klage som gir tilsynet plikt til å gjøre nærmere undersøkelser etter artikkel 57 nr. 1 bokstav f. I et slikt tilfelle kan Datatilsynet avvise saken. Denne avvisningsavgjørelsen kan påklages til Personvernnemnda.
Klagen har ikke ført fram.
Vedtaket er enstemmig.
Konklusjon
Datatilsynets vedtak opprettholdes.
Oslo, 16. april 2024
Mari Bø Haugstad
Leder