Personvernnemndas vedtak 24. september 2024 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin, Malin Tønseth)
Saken gjelder klage fra A på Datatilsynets avvisning av hans henvendelse fordi den ikke representerer en klage etter personvernforordningen artikkel 77 nr. 1.
Sakens bakgrunn
A sendte en e-post til Datatilsynet 31. desember 2023, med emnefelt: «Tips: Airwallet app brukt av Merkantilbygg med mistenkelig administratorbruker». Han var bekymret for at applikasjonen Airwallet, som var i bruk til betaling av klesvask i bygningen der A bor, ba om tilgang som enhetsadministrator ved installering på mobilen.
I e-post 4. januar 2024 orienterte Datatilsynet om at henvendelsen var registrert som et tips i tilsynets tipsdatabase og at innspillet, sammen med andre henvendelser, dannet et viktig grunnlag for planlegging av tilsynets videre arbeid. A presiserte i e-post samme dag at tipset var en klage mot Merkantilbygg AS og Airwallet, og at han ønsket å stå som juridisk klager i saken.
I brev 25. januar 2024 ble A orientert om at tilsynet ikke hadde ansett hans henvendelsen som en klage etter personvernforordningen artikkel 77 nr. 1. Datatilsynet avsluttet deretter saken.
A klaget på Datatilsynets avslutning av saken 25. januar 2024. Datatilsynet behandlet klagen og opprettholdt sin avgjørelse. Saken ble oversendt Personvernnemnda 3. april 2024. A ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med kommentarer. A har gitt sine kommentarer i telefonsamtale med nemndas sekretariat.
Saken ble behandlet i nemndas møte 24. september 2024. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin og Malin Tønseth. Utredningsleder Anette Klem Funderud var også til stede.
Kort om Datatilsynets avgjørelse
Datatilsynet redegjør for at enhver registrert har rett til å klage til Datatilsynet dersom den registrerte anser at behandlingen av personopplysninger som gjelder vedkommende er i strid med forordningen, jf. personvernforordningen artikkel 77 nr. 1. Det følger videre av artikkel 57 nr. 1 bokstav f at Datatilsynet skal behandle klager og undersøke dem i den grad det er hensiktsmessig.
Tilsynet understreker at klageretten er knyttet til behandlinger av egne personopplysninger, som gjelder klageren personlig og direkte. Alle kan i tillegg tipse tilsynet om mulige brudd på personvernet som ikke gjelder egne personopplysninger, men tilsynet vil i så fall bare registrere informasjonen som et tips som tilsynet eventuelt kan bruke til fremtidige håndhevelsesformål.
Datatilsynet legger til grunn at As henvendelse til Datatilsynet gjelder en behandling som for øyeblikket ikke påvirker ham direkte, og viser til at det framgår av hans korrespondanse med Merkantilbygg AS at han ikke bruker Airwallet-appen (og ikke ønsker å gjøre det i fremtiden). Tilsynet viser også til at Merkantilbygg AS har redegjort for at de har bestilt et fysisk betalingssystem som kan brukes om man ikke har mulighet eller ikke ønsker å bruke Airwallet-appen.
I og med at As personopplysninger ikke behandles gjennom Airwallet-appen på dette stadiet i saken, vil henvendelsen ikke behandles som en klage i samsvar med personvernforordningen artikkel 77 nr. 1.
Datatilsynet avslutter deretter saken og opplyser at deres beslutning om ikke å gjøre nærmere undersøkelser kan påklages til Personvernnemnda.
I oversendelsesbrevet til nemnda 3. april 2024 utdyper Datatilsynet den rettslige argumentasjonen for at henvendelsen ikke skal anses som en klage etter artikkel 77 nr. 1, som Datatilsynet skal behandle etter artikkel 57 nr. 1 bokstav f.
As syn på saken i korte trekk
Han klager på Datatilsynets avgjørelse om ikke å gjøre nærmere undersøkelser i saken.
Tilsynets avgjørelse bygger på et ufullstendig faktagrunnlag.
A reagerer på Datatilsynets konklusjon i saken, da potensielt datainnbrudd fra Airwallet-appen på hans enhet kan ha skjedd tilbake i tid og pågått over en lengre periode. Krenkelsen har altså skjedd. Hans tiltak om å fjerne appen for sin egen enhets sikkerhet og kreve andre metoder enn Airwallet for å betale, er irrelevant, da krenkelsen har skjedd. Han har ikke akseptert at en enhetsadministrator skulle installeres på hans mobil, noe den ble uten hans kunnskap.
Airwallet-appen brukes dessuten av andre Android-brukere som mest sannsynlig ikke er klar over at det er installert en skjult enhetsadministrator som potensielt kan fjernadministreres.
Han opplevde datainnbrudd på sin mobile enhet kort tid etter at dette ble oppdaget. Hendelsen er politianmeldt. Om hendelsen er relatert til appen, vites ikke. Det er under etterforskning.
Denne saken er av allmenn interesse da flere benytter seg av systemet over hele landet. Datatilsynet bør gjøre grundige undersøkelser om enhetsadministrator på Android-telefoner utgjør en sikkerhetsrisiko for eieren av telefonen.
Personvernnemndas vurdering
Datatilsynet har ikke ansett henvendelsen fra A som en klage etter personvernforordningen artikkel 77 nr. 1 og har besluttet ikke å gjøre noen undersøkelser i saken. Nemnda oppfatter dette som en avvisning av saken. En avvisning er et enkeltvedtak som kan påklages, jf. forvaltningsloven § 2 tredje ledd.
Datatilsynets oppgaver følger av forordningen artikkel 57. Datatilsynet skal etter bestemmelsen behandle en klage som er inngitt av en registrert og undersøke, i den grad det er hensiktsmessig, klagens gjenstand samt underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, jf. artikkel 57 nr. 1 bokstav f.
Spørsmålet i denne saken er hvilke krav som stilles til den henvendelsen Datatilsynet mottar for at den skal anses som en klage etter artikkel 77 nr. 1 som tilsynet i henhold til artikkel 57 plikter å behandle.
Det følger av personvernforordningen artikkel 77 at enhver registrert skal ha rett til å klage til en tilsynsmyndighet dersom den registrerte anser at behandlingen av personopplysninger som gjelder vedkommende er i strid med personvernforordningen. Det følger direkte av ordlyden i artikkel 77 nr. 1 at den registrerte må gjøre gjeldende at vedkommendes personopplysninger er behandlet på en måte som er i strid med forordningen. Det kan med andre ord utledes et krav om en viss konkretisering av det påstått ulovlige, og at det påstått ulovlige må ramme vedkommende som framsetter klagen. En slik tolkning finner også støtte i forordningens fortalepunkt 141, hvor det blant annet fremgår at den registrerte har en rett til å klage til et nasjonalt tilsyn «dersom vedkommende anser sine rettigheter i henhold til denne forordning for krenket» (nemndas kursivering).
Som Datatilsynet viser til i oversendelsesbrevet til nemnda, legger EFTA-domstolen tilsvarende betraktninger til grunn i avsnitt 53 i sak E-11/19 og E-12/19 som ble forent til felles behandling:
«Further, a complaint lodged by a data subject pursuant to Article 77 of the GDPR must be qualified in the sense that the alleged infringement of the GDPR relates to the processing of personal data of that data subject.»
Også EU-domstolen legger i sak C-319/20 avsnitt 75 til grunn at individuelle klager etter artikkel 77 nr. 1 er et rettsmiddel som «en enkelt person, der er individuelt og konkret berørt af en krænkelse af retten til beskyttelse af vedkommendes personoplysninger, kan anlægge mod den, der har begået denne krænkelse».
Personvernrådet uttaler også følgende i Internal EDPB Document 6/2020 on preliminary steps to handle a complaint: admissibility and vetting of complaints (15. desember 2020), side 4 (eksempel 2):
«[…] a complaint should not be about […] a suggestion made by a natural person that he or she thinks that a particular company is not compliant with the GDPR as long as he or she is not among the data subjects.»
Dersom det ikke skulle gjelde et slikt krav om at klagen, for å utløse en handleplikt hos Datatilsynet etter artikkel 57, må knytte seg til en aktuell og konkret angitt behandling av klagerens personopplysninger, ville det være tilfeldige enkeltpersoner og deres henvendelser som ville styre hvilke undersøkelsessaker Datatilsynet skulle bruke sine ressurser på.
Framsettelser av mer eller mindre ubegrunnede mistanker eller påstander uten at dette er knyttet til en konkret og aktuell behandling av klagerens personopplysninger, kan ikke utløse en plikt for Datatilsynet til å iverksette undersøkelser med sikte på å klarlegge om det har skjedd en behandling av personopplysninger i strid med forordningen.
Nemnda er enig med Datatilsynet i at henvendelsen fra A ikke er å anse som en klage etter artikkel 77 nr. 1, som medfører en plikt for Datatilsynet til å gjøre undersøkelser av hvordan Airwallet-appen er satt opp, jf. artikkel 57 nr. 1 bokstav f. Riktignok lastet A appen ned på sin telefon, men han slettet den etter kort tid. Hans bekymring nå er først og fremt knyttet til at denne saken er av allmenn interesse siden flere benytter seg av systemet over hele landet. Han ber Datatilsynet om å gjøre grundige undersøkelser av sikkerhetsrisikoen for eiere av Android-telefoner. Henvendelsen gjelder da ikke en konkret og aktuell påstått ulovlig behandling av hans personopplysninger, og anses ikke som en klage etter artikkel 77 nr. 1.
Foranlediget av Datatilsynets oversendelsesbrev, hvor tilsynet redegjør for hvilke undersøkelser Datatilsynet har foretatt, vil nemnda understreke at vurderingen av hvilke krav som stilles til en klage etter artikkel 77 nr. 1 er noe annet enn omfanget av den undersøkelsesplikten Datatilsynet har etter artikkel 57 nr. 1 bokstav f når det foreligger en klage.
Datatilsynets avvisning av saken opprettholdes.
Klagen har ikke ført fram.
Vedtaket er enstemmig.
Konklusjon
Datatilsynets vedtak opprettholdes.
Oslo, 24. september 2024
Mari Bø Haugstad
Leder