Personvernnemndas avgjørelse av 10. juni 2014 (Eva I E Jarbekk, Arve Føyen, Nina Melsom, Ørnulf Rasmussen, Ann R Sætnan, Gisle Hannemyr, Anne Forus)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på vedtak og ileggelse av overtredelsesgebyr.
2 Saksgang
Datatilsynet mottok klage på innholdet i vedtak datert 5. april 2013. Vedtakene er basert på de funn som ble gjort under en stedlig kontroll som ble gjennomført 22. november 2011 i Teletopia Gruppen AS (heretter virksomheten eller TG).
Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med kameraovervåkning. Følgende pålegg er påklaget:
Pålegg nummer 1:
Tilgang til kameraovervåkning via offentlig IP-adresse (fjerntilgang) må opphøre. En slik tilgang til opptakene mangler et gyldig behandlingsgrunnlag, jf personopplysningsloven § 8 fPålegg nummer 3:
Virksomheten må slette lagrede skjulte lydopptak, med mindre det kan vises til et gyldig behandlingsgrunnlag, jf personopplysningsloven § 8.
Videre er følgende vedtak om ileggelse av overtredelsesgebyr påklaget:
Med hjemmel i personopplysningsloven § 46 ilegges Teletopia Gruppen AS et overtredelsesgebyr på kr 200 000 – to hundre tusen kroner – for overtredelse av personopplysningsloven §§ 11 bokstav a), 13, 14, 15,19 samt personopplysningsforskriften §§ 2-4, 3-1 og 8-4.
Det er anført at Datatilsynets vedtak er basert på et uriktig og ufullstendig faktum og feil lovanvendelse. Datatilsynet har gitt klagen på vedtaket om overtredelsesgebyr oppsettende virkning.
Saken ble oversendt Personvernnemnda 21.10.2013, som mottok saken 29.10.2013. Klager ble orientert om dette i brev fra nemnda datert 4.11.2013. Frist for uttalelse ble utsatt som følge av rettssak medio desember 2013. Klager kommenterte klagen i brev av 14.2.2014 med vedlegg. Klager kommenterte saken ytterligere i epost av 6.5.2014, med vedlegg, herunder politianmeldelse av trusselsak.
3 Faktum
Klager har påklaget tilsynets vedtak og ileggelse av overtredelsesgebyr.
4 Klagers anførsler
4.1 «Tipseren»
Klager fastholder at Datatilsynets vedtak er basert på et uriktig og ufullstendig faktum og feil lovanvendelse.
Datatilsynet har så langt avslått TG's anmodning om å få opplyst hvem som «tipset» Datatilsynet om at det var grunn til å foreta stedlig tilsyn i selskapets lokaler høsten 2011, til tross for at TG anfører og har sannsynliggjort at tidligere daglig leder (B) i selskapet har stått bak mange av de avvik som Datatilsynet har identifisert, og at dette er gjort i den hensikt å skade TG, øvrige selskaper i Teletopia konsernet og nåværende daglig leder (A) personlig. I Datatilsynets oversendelsesbrev fremgår det nå at Datatilsynet også har funnet dette godtgjort.
Tilsynet har også mottatt informasjon om at både As familie og hans medarbeidere har blitt utsatt for omfattende trakassering og trusler, som A mener å kunne spore tilbake til B. As eldste datter har hatt voldsalarm, og Jon Chr. Elden er blitt oppnevnt som bistandsadvokat for henne. A har under tiden engasjert privatetterforskerne Tore Sandberg og Finn Abrahamsen, og har med rettens hjelp fremskaffet dokumentasjon for at B står bak bl.a. datateknisk sabotasje mot selskapene. Deler av dette er omtalt i politianmeldelse 23. juli 2013 (oppdatert 16. september 2013). Anmeldelsen inneholder også dokumentasjon for at B har opptrådt med falske identiteter, samt at han ved tidligere anledning overfor offentlige myndigheter på falskt grunnlag har fremsatt alvorlige beskyldninger mot en annen person han hadde uoverensstemmelse med, ikke helt ulikt hva A har opplevd i nærværende sak.
Datatilsynet er godt kjent med at det har vært en pågående konflikt mellom tidligere daglig leder B og Aquarius Holding AS v/ A siden B fratrådte høsten 2011, kun kort tid før Datatilsynet ble «tipset». Tilsynet ble gjennomført 22 dager etter at B fratrådte selskapet.
Det er også dokumentert at flere av de påstander som ble gjengitt i Datatilsynets foreløpige kontrollrapport av 24. januar 2012 og som siden har blitt gjentatt i etterfølgende saksdokumenter, er påfallende like flere av de påstander som er fremsatt av B i hans brev til Datatilsynet av 12. mars 2012, og som lå til grunn for Datatilsynets kraftige fordømmelse av A i riksmedia da saken ble kjent. Det bidrar ikke til å gjenopprette tilliten til at saksbehandlingen i Datatilsynet har vært forsvarlig, når Datatilsynet nærmere to år etter at tilsynet fant sted, skriver i sitt oversendelsesbrev til Personvernnemnda at tilsynet ikke har lagt vekt på opplysninger som stammer fra B, med mindre de i etterkant er blitt dokumentert.
Det er som kjent også dokumentert i TGs brev av 12. mars 2012 til Datatilsynet under punkt 3.2 hvordan en rekke av selskapets forretningsforbindelser og kunder den 6. mars 2012 mottok e-poster fra en anonym avsender vedlagt en kopi av Datatilsynets foreløpige kontrollrapport i saken i den hensikt å skade Teletopias og As omdømme i markedet. Datatilsynet har bekreftet i ettertid at det kun var B og Dagens Næringsliv, som på det aktuelle tidspunkt da de anonyme e-postene ble sendt, hadde mottatt kopi av den foreløpige rapporten.
Etter det TG har grunn til å tro var det derfor B som «tipset» Datatilsynet høsten 2011, eventuelt en annen person på vegne av B, i den hensikt å skade TG og A. TG anfører at B, i tillegg til å overføre en rekke bedriftssensitive opplysninger og informasjon til seg selv da han fratrådte, også sørget for å slette dokumenter og data tilhørende TG, samt trolig foretok innstillinger på overvåkningskameraene i selskapets lokaler i den hensikt å «plante bevis» hos TG før han tipset Datatilsynet om avvikene. TG fastholder at identiteten til «tipseren» er av betydning for Personvernnemndas vurdering av klagen.
Når Datatilsynet begrunner avslag om innsyn i «tipseren» sin identitet med at navnet ikke er nedtegnet i noe dokument, legger TG dette selvsagt til grunn, selv om TG synes det virker spesielt i lys av de rutiner TG antar gjelder for registrering av denne typen henvendelser. TG oppfatter Datatilsynets svar dit hen at det ikke dreier seg om et anonymt tips, men en person som identifiserte seg selv overfor Datatilsynet. TG kan vanskelig tenke seg at vedkommende saksbehandler i Datatilsynet som mottok «tipset» ikke skrev ned de opplysninger han eller hun mottok fra «tipseren» og om «forholdene hos TG», eventuelt mottok opplysningene skriftlig per e-post eller brev. I den grad Datatilsynet mottok personopplysninger om A fra tipseren ber TG på vegne av A om å få innsyn etter personopplysningsloven § 18. A har i så fall også rett til å få oppgitt hvem som har oppgitt personopplysninger om ham til Datatilsynet og hvilken saksbehandler som mottok «tipset». TG ber uansett Personvernnemnda innhente opplysninger om identiteten til «tipseren» som del av det faktiske grunnlag i klagesaken og ber samtidig Personvernnemnda oppgi navnet til tipseren overfor TG.
4.2 Vedrørende pålegg om at tilgang til kameraovervåking via offentlig IP-adresse må opphøre
Når det gjelder de faktiske forhold på tilsynstidspunktet og rettslige anførsler vises til brev av 6. mai 2013 og brev av 31. august 2012.
TG merker seg at Datatilsynet nå presiserer at «… pålegget retter seg fremover i tid», hvilket innebærer at selskapets tilgang til kameraopptak via offentlig IP-adresse heretter ikke skal forekomme. Det fremgår videre at tilsynet:
… også har lagt vekt på at den aktuelle løsningen TG benytter meget enkelt kan konfigureres slik at det åpnes for tilgang til andre kameraer enn de som er plassert i serverrom, og at tilgangen kan benyttes også utenfor alarmsituasjoner.
Datatilsynet har ytterligere presisert at «fjernovervåkning av ansatte» er et av to avvik som «… vurderes som mest alvorlig» ift vedtak om overtredelsesgebyr.
Datatilsynets argumentasjon vil i praksis innebære et generelt forbud mot enhver form for fjerntilgang via internett til kameraopptak som er foretatt innenfor avlåste områder på arbeidsplassen. Tilsynet beskriver en tenkt og teoretisk situasjon, og søker å blokkere for alle tekniske mulighet til å oppnå denne tenkte situasjonen, ved å skulle forby alle former for fjerntilgang ved hjelp av VPN som etableres via offentlig IP, med brukerkontroll og tilgangsregistrering, via totrinns autentisering etc, med den begrunnelse at den teknologiske løsningen i sin natur evner å kunne misbrukes i lovstridig hensikt. I dette tilfellet dreier det seg om tre kameraer montert i et avlåst serverrom i selskapets lokaler, hvor samtlige ansatte med lovlig adgang til serverrommet var informert om kameraovervåkingen, der systemtilgang er forsvarlig beskyttet. Etter TGs vurdering er Datatilsynets lovforståelse er feil. Datatilsynets pålegg gir uansett ikke grunnlag for å ilegge selskapet overtredelsesgebyr etter personopplysningsloven § 46.
4.3 Vedrørende pålegg om sletting av skjulte lydopptak
Datatilsynet presiserer i sitt oversendelsesbrev at det kun er de skjulte lydopptakene som er beskrevet i klagen, som danner grunnlag for vedtak om overtredelsesgebyr. Datatilsynet har ytterligere presisert at det er disse skjulte lydopptakene som sammen med «fjernovervåkning av ansatte … vurderes som mest alvorlige …» ift vedtak om overtredelsesgebyr.
Det anføres at de lydopptak saken gjelder, ikke omfattes av personopplysningslovens bestemmelser, jf. lovens § 3 og tidligere klagesak PVN-2005-01. I denne saken kom Personvernnemnda til at lydopptak foretatt av et advokatfirma på vegne av klient (opptak av telefonsamtaler med motpart) ikke var omfattet av personopplysningslovens virkeområde. Advokatens formål med opptakene var å sikre bevis for sin klient og opptakene ble foretatt via telefonens høyttaler. Opptakeren som ble brukt var en vanlig borddiktafon og lydopptakene var ikke søkbare. Personvernnemnda kom til at det ikke forelå noe personregister, siden det var nødvendig å høre gjennom opptakene for å identifisere enkeltpersoner. Personvernnemnda tok deretter stilling til hvorvidt lydopptakene likevel var omfattet av loven fordi det dreide seg om «behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler» og kom til at det ikke er tilstrekkelig at opptaket finner sted med «elektronisk utstyr», men at lovens vilkår skal forstås slik at det kun er opptak som skjer automatisk «uten intervensjon av mennesker» som omfattes av loven og konkluderte:
På denne bakgrunn er Personvernnemnda kommet til at når lydopptak startes og stanses manuelt, kan dette ikke anses å ha skjedd med «elektroniske hjelpemidler» selv om opptakeren teknisk sett må karakteriseres som elektronisk, og uansett om opptakene er digitalt eller analogt.
Lydopptakene i denne klagesak er utelukkende foretatt med bruk av diktafon av type Sony eller Olympus, som er blitt startet og stanset manuelt av A. Lydopptakene er lagret på minnekort som er merket med dato. Noen lydopptak er overført til PC for konvertering fra diktafonens eldre og proprietære format, til format som egner seg til avspilling i retten og hos påtalemyndighet. A opplyser at lydopptakene er ordinære lydfiler, delvis i proprietært format, som ikke er søkbare på navn, og videre at det er nødvendig å lytte gjennom opptakene for å identifisere enkeltpersoner. A opplyser videre at det ikke finnes noe arkiv over lydfilene eller minnekortene.
For det tilfelle at Personvernnemnda likevel skulle komme til at personopplysningslovens bestemmelser kommer til anvendelse, vises til brev av 6. mai 2013 hva gjelder de faktiske forhold og rettslige anførsler. TG fastholder at vilkårene for å behandle lydopptakene i så fall er oppfylt, jf personopplysningsloven § 11, jf. § 8 f), jf forutsetningsvis § 9 e) som åpner for behandling av sensitive personopplysninger når dette er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav. Det anføres at lydopptakene er nødvendige for å gjøre gjeldende, fastsette eller forsvare et rettskrav, og da må det tilsvarende også gjelde for behandling av ikke-sensitive personopplysninger, etter personopplysningsloven § 8 f).
En konsekvens av at Datatilsynet har besluttet å begrense rekkevidden av slettepålegget slik at det likevel ikke omfatter opptaket som ble gjort under gjennomføringen av kontrollen, er at dette lydopptaket heller ikke kan danne grunnlag for vedtak om overtredelsesgebyr. Det fremgår ikke av Datatilsynets oversendelsesbrev at dette forhold er blitt vurdert. Størrelsen på det ilagte overtredelsesgebyret eller heller ikke blitt redusert.
Lydopptaket av tilsynets gjennomføring av kontrollen er tilbudt oversendt til tilsynet, i den hensikt at tilsynet selv kunne børe at den etterfølgende beskrivelsen av kontrollen, på flere områder ikke var i overensstemmelse med det som faktisk fant sted. Tilsynet har avvist å motta opptaket, og har heller ikke villet endre sin oppfatning av det tilsynet feilaktig mente fant sted, selv etter at TG fremla transkribering av relevante passuser fra lydfilen, som viser dette.
TG vil med dette tilby at Personvernnemnda kan lytte igjennom lydfilen fra kontrollen, og ved selvhør vil oppleve at forhold som beskrives å ha skjedd, ikke har funnet sted, og videre, at hendelser, påstander og uttalelser tilsynet i kontrollrapporten beskriver å ha fått fra A, ikke ble uttalt av A, men derimot finnes som påstander i skriv fra B.
4.4 Vedrørende vedtak om ileggelse av overtredelsesgebyr
Med unntak for de to pålegg som er påklaget av TG, jf. punkt 4.2 og 4.3 ovenfor, er det ikke bestridt fra TG sin side at de øvrige forhold som Datatilsynet identifiserte under sin stedlige kontroll, er avvik fra personopplysningslovens regler på tidspunktet den stedlige kontroll fant sted. Det er samtidig anført i klagen at flere av de avvik som ligger til grunn for vedtak om overtredelsesgebyr, er knyttet til tidligere daglig leders opptreden og som er forhold som ligger utenfor TGs kontroll. I klagen er det fremlagt omfattende dokumentasjon som underbygger dette.
TG konstaterer at Datatilsynet basert på dokumentasjonen fremlagt i klagen og etterfølgende brev, nå anser det godtgjort at B har handlet i den hensikt å ramme TGs interesser. Datatilsynet presiserer samtidig at:
Det bestrides heller ikke at disse omstendighetene ikke er tillagt stor vekt. Bakgrunnen for dette er at de ikke har betydning for lovmessigheten til de brudd på personopplysningsloven som påleggene knytter seg til.
Datatilsynets presisering kan forstås slik at de avvik som TG anfører at B står bak uansett ikke ville gitt grunnlag for overtredelsesgebyr etter personopplysningsloven § 46. Størrelsen på overtredelsesgebyret er også uforandret.
Samtidig presiserer Datatilsynet at:
Det er godtgjort at de bruddene på personopplysningsloven som ble avdekket under kontrollen ligger innenfor virksomhetens kontroll og at de er et resultat av bevisste valg fra selskapets ledelse.
Sammenholdt med Datatilsynets uttalelse i vedtaksbrevet av 5. april 2013 s. 13 om at «… samtlige av TGs overtredelser er å anse som alvorlige», kan dette vanskelig forstås på annen måte enn at Datatilsynet mener at også de avvik som TG anfører at B står bak gir grunnlag for overtredelsesgebyr etter personopplysningsloven § 46. Størrelsen på overtredelsesgebyret som TG er ilagt er identisk med det nivå som ble meddelt selskapet allerede i Datatilsynets varsel om vedtak datert 20. juni 2012 før TG dokumenterte selskapets påstand om at B står bak flere av avvikene.
TG anfører at en rekke av avvikene ligger utenfor TGs kontroll og at Datatilsynets rettsanvendelse knyttet til vilkårene for overtredelsesgebyr etter personopplysningslovens § 46 er feil.
Personopplysningsloven § 46 første ledd siste punktum bestemmer at et «foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll». Kontrollbegrepet blir ikke kommentert nærmere i forarbeidene til personopplysningsloven, men veiledning kan hentes fra andre lovområder. I relasjon til bestemmelsen om foretaksstraff i straffeloven § 48a er det sikker rett at overtredelser som bærer preg av illojalitet mot foretaket, ikke anses begått «på vegne av foretaket», jf. Høivik, Foretaksstraff (2012) s. 284-289. Foretaksstraffens funksjon som organisatorisk incitament kan ikke begrunne ansvar som krenker foretakets egne interesser. Slike handlinger vil sjelden ligge innenfor foretakets kontrollsfære. I følge Høivik er motivet for handlingen avgjørende.
En lignende begrensning følger av spørsmålet om arbeidstakeren har gått ut over det som er «rimelig å regne med» etter skadeserstatningsloven § 2-1 første ledd annet punktum. Det vil typisk være aktuelt å frita for ansvar der handlingen ikke er utslag av en normal risiko som følger med funksjonen i foretaket, men snarere et utslag av gjerningspersonens ekstraordinære atferd, det vil si en særegen risiko som følger med en bestemt gjerningsperson.
I denne sak hadde TG etablert et forsvarlig internsystem og gjort hva som rimelig kan kreves for å forhindre lovbrudd. B' handlinger – som var illojale og motivert av å skade TGs interesser – fremstår i dette perspektivet som utslag av en ekstraordinær risiko ved gjerningspersonen, ikke som utslag av systemsvikt eller manglende organisatoriske tiltak. Overtredelsene må således sies å skyldes forhold utenfor TGs kontroll.
Det anføres at det kreves kvalifisert sannsynlighetsovervekt også for at B, handlinger ligger innenfor selskapets kontroll. Beviskravet må klart også gjelde for kontrollvilkåret. Datatilsynets uttalelser om at B' handlinger «ikke er tillagt stor vekt» og «at de ikke har betydning for lovmessigheten til de brudd på personopplysningsloven som påleggene knytter seg til», etterlater imidlertid tvil om kontrollvilkåret er riktig anvendt, og om Datatilsynet har oppfylt sin bevisbyrde.
En rekke av de forhold som er påberopt av TG i klagen var også gjenstand for bevisføring i hovedforhandlingen mellom B og Aquarius Holding 16. – 20. desember 2013. B la i den sivile saken frem en rekke nye dokumentbevis, bl.a. utskrifter av sms-korrespondanse og sakkyndig rapport som skulle underbygge at A ikke bare kjente til, men også var instrumentell i Cs falske telestemmer under «Skal vi danse» og at det ble funnet to fakturaer i Teletopias regnskap for husleie for en leilighet som Bs sønn hadde bodd i for Teletopias regning, som i følge B var attestert av A, hvilket skulle bevise at han var kjent med leieforholdet. Disse forhold er også omtalt i TGs brev av 12. mars 2012. Aquarius Holding har på sin side fremlagt dokumentasjon fra nasjonale og internasjonale sakkyndige og spesialister, herunder ekspert i skriftanalyse tidligere ansatt i Kripos, som imøtegår anførslene fra B. Videre er fremlagt omfattende dokumentasjon som underbygger at B har forfalsket dokumentasjon, herunder oppgitt uriktig opplysninger om ikke-eksisterende studiested i sin CV. A har også innhentet kopi av Bs politiforklaringer knyttet til de forhold han er blitt anmeldt for som dokumenterer motstridende forklaringer mellom hva B har forklart til politiet og til Datatilsynet om sin rolle i selskapsgruppen. Disse forhold er også opplyst av A i hans e-post til Datatilsynet av 22. oktober 2013.
Datatilsynet har gjort et poeng av at B ikke var innmeldt til Brønnøysundregistrene som daglig leder i Teletopia Gruppen, men formelt ansatt i et annet selskap i konsernet; det selskapet der samtlige medarbeidere i telekomvirksomheten, og samtlige medarbeidere i backoffice-, stab- og regnskapsfunksjon var ansatt i. Det er imidlertid blitt dokumentert for retten og for Datatilsynet at B har opptrådt som – og signert med tittel som – daglig leder i alle Teletopia-selskapene. Han har på sin CV – som er avdekket å være forfalsket – angitt å være «general manager», dvs. daglig leder, i Teletopia AS. I sin forklaring for Oslo tingrett ble han spurt direkte av dommeren om hvilke roller han hadde i de ulike selskapene. Han oppga at han fungerte som daglig leder også i Teletopia Gruppen AS.
Dokumentasjon for dette fremkommer i selskapsgruppens politianmeldelse 13. februar 2014 mot B for falsk forklaring og fremleggelse i retten av forfalsket eksamensdokument fra ikkeeksisterende skole, der det også er vedlagt transkribering av relevante deler av hans forklaring for retten. Det er opplyst at tingretten samtykket til at det kunne foretas lydopptak av hovedforhandlingen jf tvisteloven § 13-7.
TG fastholder at ingen av avvikene gir grunnlag for å ilegge overtredelsesgebyr. Det vises til de faktiske og rettslige anførsler i brev av 6. mai 2013, samt etterfølgende brev av 11. og 19. september 2013 og brev av 31. august 2012.
De avvik som er fremhevet fra Datatilsynets side i vedtak om overtredelsesgebyr av 5. april 2013 er: Ulovlig lydopptak, kameraopptak, manglende informasjon til de ansatte, manglende sletting av kameraopptak og ulovlig tilgang til kameraopptak. I oversendelsesbrevet til Personvernnemnda har Datatilsynet presisert at det er lydopptakene som gjøres i det skjulte og fjernovervåkning av ansatte som vurderes som mest alvorlig i forhold til tilsynets vedtak om overtredelsesgebyr.
Når det gjelder lydopptakene og fjernovervåkningen er dette kommentert i hhv. punkt 4.2 og 4.3 ovenfor og nærmere omtalt i brev av 6. mai 2013 og 31. august 2012. Disse forhold gir ikke grunnlag for ileggelse av overtredelsesgebyr idet det ikke er sannsynliggjort at vilkårene etter personopplysningsloven § 46 er oppfylt.
Påstanden om fjernovervåkning antas å stamme fra B. TG har rett til innsyn i dokumenter som B har sendt politiet, bl.a. i den hensikt å få politiet til å straffeforfølge A. Dokumentet inneholder påstander om at han skal ha observert at A har fjernovervåket ansatte, om at A sitter på kontoret flere timer hver dag for å redigere og arkivere dagens skjulte lyd- og bildeopptak, osv. Dokumentet inneholder også mer kuriøse påstander om at A, som er jøde, selv skal ha uttalt at han tilhører en folkegruppe som er andre overlegne, og at A på grunn av dette lett tyr til ulovligheter.
Hva gjelder avviket knyttet til kameraopptak, legger TG til grunn at dette omfatter de to kameraene som fanget opp de to korridorene til høyre for resepsjonsområdet når man kommer inn i selskapets lokaler fra inngangsdøren og som ble fjernet av TG straks selskapet ble gjort kjent med at man hadde misforstått Datatilsynets vedtak om pålegg av 18. mars 2009, jf. brev av 6. mai 2013 og 31. august 2012. Vedtaket ble for øvrig påklaget, og senere henlagt uten ytterligere klagebehandling. På vegne av TG fastholdes at det forhold at avviket skyldes en misforståelse fra selskapets side som også Datatilsynets medarbeidere bidro til å skape, ikke gir grunnlag for ileggelse av overtredelsesgebyr. Det foreligger således heller ikke noen gjentakelse.
I tillegg omfatter avviket knyttet til kameraopptak det forhold at de andre kameraene som (lovlig) overvåker selskapets inngangsparti var innstilt på å gjøre opptak i kontortiden mellom 08.00 og 16.00 ved at timeplanfunksjonen som styrer dette var tatt bort på tidspunktet kontrollen fant sted. TG fastholder at opptakstidspunktet kan ha blitt endret ved en inkurie eller – mest sannsynlig – av tidligere daglig leder som fratrådte sin stilling 22 dager før kontrollen fant sted. Dette er et avvik som ligger utenfor selskapets kontroll. I lydopptaket fra kontrollbesøket fremkommer det at Datatilsynet var svært opptatt av å få vite om kamerasystemet gjorde opptak i arbeidstiden, og flere ganger stilte kontrollspørsmål om dette; det synes som om tilsynet hadde forhåndsopplysninger om at de ville finne nettopp et slikt brudd. Da A forklarte at utstyret var innstilt til ikke å gjøre opptak innenfor arbeidstid, konkluderte tilsynet med at A forklaring ikke var korrekt.
Når det gjelder avviket knyttet til manglende sletting av kameraopptak i selskapets serverrom fastholder TG at selskapet ikke kan ilegges overtredelsesgebyr når selskapet har forholdt seg til ordlyden i personopplysningsloven § 8-4 fjerde ledd bokstav c) selv om Datatilsynet tolker lovens ordlyd innskrenkende.
Det fremgår av vedtaket at også avvikene knyttet til manglende dokumentasjon av interkontroll- og informasjonssikkerhet samt databehandleravtaler ligger til grunn for vedtak om overtredelsesgebyr. TG fastholder at slik dokumentasjon var utarbeidet og eksisterte før tidligere daglig leder fratrådte sin stilling 1. november 2011 og at det er han som må ha slettet dokumentasjonen. Det vises til at det er dokumentert i saken hvordan B overførte store mengder bedriftssensitiv informasjon, herunder systempassord til sin private e-postkonto.
Under hovedforhandlingene i tvisten mellom B og Aquarius Holding forklarte B at han etter å ha kopiert materialet ulovlig, deretter slettet alle bedriftsrelaterte dokumenter og kun beholdt de dokumentene som var private. Etter at hovedforhandlingen ble avsluttet, den 5. januar 2014, mottok imidlertid en ansatt i selskapsgruppen en e-post fra B knyttet til en kunderelatert e-post den ansatte hadde mottatt til seg selv i 2011, samt en lesebekreftelse fra B der det fremgår at han hadde lest (samme dag) en virksomhetsrelatert e-post den ansatte hadde sendt til hans firmapostkasse i 2010. Dette underbygger at B fortsatt har tilgang til bedriftssensitiv informasjon tilhørende selskaper i selskapsgruppen, i tillegg til å underbygge at B forklarte seg uriktig under sin partsforklaring i tingretten også på dette punktet.
TG har også bestridt at det foreligger avvik knyttet til manglende informasjon til de ansatte om behandling av personopplysninger. I klagen bes Personvernnemnda innhente uttalelser fra de ansatte og konserntillitsvalgte i Teletopia for det tilfellet Datatilsynet fastholder at det ikke er gitt informasjon til de ansatte og tillitsvalgte om behandling av personopplysninger, herunder kameraovervåkning i kontorlokalene. Etter det TG kjenner til er det så langt ikke blitt rettet noen slik henvendelse til de ansatte i selskapet og TG legger således til grunn at Datatilsynet har frafalt dette forholdet. Under enhver omstendighet er ikke beviskravene oppfylt. Det vises til rapporten fra privatetterforsker Finn Abrahamsen sin samtale med selskapsgruppens tidligere tekniske leder Kashif Shazad hvor det fremgår at «han er rimelig sikker på» at han ville hatt kjennskap til skjulte kameraer, jf. brev av 19. september 2013. At Datatilsynet på sin side kun forholder seg til de funn som ble gjort på kontrolltidspunktet er ikke tilstrekkelig til å oppfylle beviskravet etter personopplysningsloven§ 46. Det samme gjelder det faktiske grunnlag som inngår i utmåling av overtredelsesgebyrets størrelse.
A ber om å få anledning til å presentere de for TG viktigste delene av saken muntlig for Personvernnemnda, hvis mulig.
5 Datatilsynets vurdering
5.1 Vedrørende pålegg om kameraovervåkning via offentlig IP-adresse må opphøre
I klagen anføres det at Datatilsynet har lagt et uriktig faktum til grunn for pålegget. Det hevdes fra virksomhetens side at det ikke er tilfelle at noen i virksomheten faktisk hadde fjerntilgang til lydopptakene på kontrolltidspunktet. Det hevdes at opptakssystemet kun åpner for denne muligheten. Dette bestrides fra Datatilsynets side, men etter tilsynets vurdering har det heller ikke avgjørende betydning hvordan systemet var konfigurert på kontrolltidspunktet, pålegget retter seg fremover i tid, og det fastholdes at tilgangen må opphøre. Fra virksomhetens side er det uansett bekreftet at styreleder hadde tilgang til bilder som ble overført fra tre av kameraene i lokalet, via sin bærbare PC og sin mobiltelefon.
I klagen gjøres det også et poeng ut av at tilgangen til de profilene som ga adgang til bildene var begrenset. At bildene ikke har vært tilgjengelig for enhver er naturligvis av betydning, men det har også hele tiden vært premisset for Datatilsynets vurderinger. Det har blitt lagt til grunn at det var styreleder i TG som hadde tilgang til bildene fra overvåkningskameraene.
Tilsynet fastholder at fjerntilgang til bilder fra overvåkningskameraer ikke har et gyldig behandlingsgrunnlag etter personopplysningsloven. I den sammenheng er det også lagt vekt på at den aktuelle løsningen TG benytter meget enkelt kan konfigureres slik at det åpnes for tilgang til andre kameraer enn de som er plassert i serverrom, og at tilgangen kan benyttes også utenfor alarmsituasjoner.
Datatilsynets konklusjon er at pålegget om at fjerntilgang til bilder fra virksomhetens overvåkningskameraer skal opphøre, må opprettholdes.
5.2 Vedrørende pålegget om sletting av skjulte lydopptak
I klagen presiseres det hvilke lydopptak TG nå er i besittelse av, og som Datatilsynets pålegg således omfatter. Det gjøres gjeldende at videre lagring av de aktuelle opptakene har et gyldig behandlingsgrunnlag ved at lydfilene senere vil kunne tjene som bevis i rettstvister. Det opplyses i klagen at alle de tre opptakene er relevante som dokumentasjon i pågående tvister, vedtak og ileggelse av overtredelsesgebyr. Tvister som det i følge klager er sannsynlig at vil bli brakt inn for domstolene.
Datatilsynet holder fast ved at opptakene inneholder personopplysninger som er ervervet på et vis som er i strid krav i personopplysningsloven. Det er ikke godtgjort at det forelå et gyldig behandlingsgrunnlag for innhentingen av opplysningene. Videre ble ikke de registrerte informert slik loven krever. Dette er tillagt stor vekt.
I klagen bemerkes det at det ikke er tilfelle at TGs styreleder til enhver tid bærer to båndopptakere på seg og at han tar opp alle samtaler han deltar i, slik det ble hevdet under kontrollen. Til det er det å bemerke at Datatilsynets pålegg knytter seg til de lydopptak foretatt i det skjulte, som måtte finnes. Hvorvidt det er en utbredt praksis at daglig leder tar opptak av samtaler han deltar i, er ikke avgjørende for det vedtatte påleggets gyldighet. Som Datatilsynet vil komme tilbake til under, har dette forholdet heller ikke vært av betydning for ileggelsen av overtredelsesgebyr eller gebyrets størrelse.
Videre er det anført at habilitetskravet som følger av forvaltningsloven § 6 er til hinder for at saksbehandlerne som gjennomførte kontrollen av virksomheten, og som således fanges opp på et av lydopptakene som slettepålegget knytter seg til, kan treffe vedtak i saken.
Datatilsynets medarbeidere har vurdert egen habilitet, i tråd med forvaltningsloven § 8. Det følger av forvaltningsloven § 6 annet ledd at en offentlig tjenestemann er ugild dersom det foreligger forhold som er egnet til å svekke tilliten til hans upartiskhet. Blant annet skal det legges vekt på om avgjørelsen i saken kan innebære en særlig fordel, tap eller ulempe.
Datatilsynet fastholder at tilsynets medarbeidere ikke er å betrakte som inhabile i denne sammenheng. Utfallet av saken innebærer ingen særlig fordel eller ulempe for saksbehandler. Tilsynet har likefult, på bakgrunn av klagers anførsel, valgt å begrense rekkevidden av slettepålegget, slik at det ikke omfatter opptaket som ble gjort under gjennomføringen av kontrollen eller senere telefonsamtaler med ansatte i Datatilsynet.
Det bemerkes imidlertid at det følger av lov at lagring av opptaket fordrer et gyldig behandlingsgrunnlag i henhold til personopplysningsloven § 8. Virksomheten må selv kunne godtgjøre at vilkårene for den aktuelle behandlingen av personopplysninger foreligger.
Datatilsynets konklusjon er at vedtaket om sletting av lydopptak må opprettholdes, med unntak av opptaket som stammer fra Datatilsynets kontroll og opptak av telefonsamtaler med ansatte i Datatilsynet.
5.3 Vedrørende vedtak om ileggelse av overtredelsesgebyr
Virksomheten gjør gjeldende at vilkårene for å ilegge overtredelsesgebyr i personopplysningsloven § 46 ikke er oppfylt. Videre anføres det at vedtaket er vilkårlig, urimelig og uforholdsmessig. Subsidiært gjøres det gjeldende at beløpet, kr. 200 000,- er en for streng reaksjon.
Det argumenteres i klagen for at overtredelsesgebyr er å anse som straff etter EMK art. 6 nr. 2, og at beviskravene som må være oppfylt for at reaksjoner som har karakter av straff er strenge og i den forbindelse er det vist til Rt 2007-1217.
Fra virksomhetens side bemerkes det også at Datatilsynet i vedtaket har lagt til grunn at det foreligger klar sannsynlighetsovervekt for at sakens faktum fortoner seg slik det er beskrevet i kontrollrapporten. Det påberopes at når Datatilsynet legger til grunn at det foreligger klar sannsynlighetsovervekt så «innebærer det at det ikke er tilstrekkelig med alminnelig sannsynlighetsovervekt».
Til det er det å bemerke at hvorvidt Datatilsynet oppfatter faktum i saken som klarlagt, selvsagt ikke påvirker hvilke beviskrav som stilles rent rettslig. Tilsynet er imidlertid ikke uenig i at det kreves mer enn alminnelig sannsynlighetsovervekt, men mener det er dokumentert utover enhver rimelig tvil at virksomheten har gjort seg skyldig i vedvarende og alvorlige brudd på personopplysningsloven.
Når det gjelder de faktiske forhold som er bestridt, nemlig hvorvidt det på kontrolltidspunktet var åpnet for tilgang til overvåkningsbilder via internett, velger Datatilsynet å legge de observasjoner som ble gjort da kontrollen ble utført til grunn for sine vurderinger.
Det anføres fra TGs side at det er blitt begått saksbehandlingsfeil under Datatilsynets behandling av saken, fordi ikke alle forhold i saken som er påberopt av virksomheten er vurdert.
I klagen vies den tidligere daglig leder, B, mye oppmerksomhet. Til det er det å bemerke at Datatilsynet ikke har lagt vekt på opplysninger som stammer fra ham, med mindre de i etterkant har blitt dokumentert. Videre anføres det at tilsynet ikke har lagt tilstrekkelig vekt på de beskyldninger virksomheten retter mot B. Tilsynet anser det som godtgjort at B har handlet i den hensikt å ramme TGs interesser. Det bestrides heller ikke at disse omstendighetene ikke er tillagt stor vekt. Bakgrunnen for det er at de ikke har betydning for lovmessigheten til de brudd på personopplysningsloven som påleggene knytter seg til. Det er også anført at hensynet til kontradiksjon, og sakens opplysning, tilsier at virksomheten skulle fått umiddelbar tilgang til de kommentarer som ble gitt av B. Datatilsynet deler ikke klagers oppfatning om at det er en saksbehandlingsfeil at B har fått tilgang til sakens dokumenter, og således har kunnet uttale seg om disse. Det fastholdes at Datatilsynet ikke har lagt vekt på opplysninger som ikke også er blitt gjort kjent for TG.
De kriterier som skal tillegges vekt ved vurderingen av overtredelsesgebyr skal ilegges, fremkommer av lovens § 46 annet ledd bokstav a) til h). I klagen er det pekt på følgende momenter knyttet til de ulike vurderingskriteriene:
Bokstav a): «hvor alvorlig overtredelsen har krenket de interesser loven verner»
Det anføres at det ikke kan være lovgivers intensjon at det å foreta lydopptak som ikke rammes av straffeloven likevel skal kunne medføre at man ilegges overtredelsesgebyr, all den tid overtredelsesgebyr vil kunne være å anse som straff etter EMK artikkel 6.
Datatilsynet deler imidlertid ikke den oppfatning. Det er på det rene at en krenkelse av personvernet kan rammes av straffeloven, men det er like fullt hevet over tvil at den samme, eller nært beslektede handlinger også vil kunne rammes av personopplysningsloven. Da Datatilsynet fikk mulighet til å ilegge overtredelsesgebyr var tanken nettopp at krenkelser av personopplysningsloven skulle kunne resultere i reaksjoner som var egnet til å ha en preventiv effekt.
Datatilsynet kan ikke se at det er grunnlag for å hevde at handlinger som ikke dekkes av et straffebud, ikke skal kunne medføre at det ilegges overtredelsesgebyr med hjemmel i personopplysningsloven § 46, selv om altså handlingen er nært beslektet med forhold som rammes av straffeloven. Når det gjelder anførselen om at det skyldtes en misforståelse at kameraene som var plassert i forretningslokalenes korridorer ikke var fjernet, festes det ikke lit til den forklaringen og Datatilsynet fastholder også at slik bruk av kameraovervåkning nettopp må kunne sies å innebære en alvorlig krenkelse av de interesser personopplysningsloven verner.
Bokstav b) og c): «graden av skyld» og «om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen»
I klagen anføres det at TGs ledelse ikke har utvist skyld i de avvik fra krav i personopplysningsloven som ble avdekket under kontrollen. Datatilsynet fastholder imidlertid at de avvik som vurderes som mest alvorlige, det pekes da særlig på de lydopptakene som gjøres i det skjulte, og fjernovervåkning av ansatte kan knyttes til personer som er sentrale i TGs ledelse i dag. Det er godtgjort at de bruddene på personopplysningsloven som ble avdekket under kontrollen ligger innenfor virksomhetens kontroll og at de er et resultat av bevisste valg fra selskapets ledelse.
Datatilsynet har videre sett hen til innholdet i de dokumenter tilsynet har fått tilsendt etter at tilsynet mottok klagen. Datatilsynet erkjenner, etter å ha lest kjennelsen fra Borgarting lagmannsrett og samtalerapportene fra privatetterforsker Finn Abrahamsens intervjuer med henholdsvis Odmund Borge og Kashif Shahzad, at det er grunn til å anta at B har opptrådt kritikkverdig, både overfor selskapsgruppen og overfor ansatte. Det vises eksempelvis til innsynet som ble foretatt i B epostkasse, der det ble dokumentert at B hadde overført store mengder bedriftssensitiv informasjon, herunder systempassord til sin private e-postkonto. Det fremkommer også opplysninger som tilsier at også B kan ha håndtert personopplysninger på en personvernkrenkende måte.
Datatilsynet holder imidlertid fast ved at de brudd på personopplysningsloven som ligger til grunn for overtredelsesgebyret ikke lar seg forsvare på bakgrunn av Bs handlinger eller fremstår som vesentlig mindre klanderverdige. De står etter tilsynets vurdering ikke i direkte sammenheng med mistillitsforholdet mellom virksomheten og B.
I rapporten fra samtalen med Kashif Shahzad hevdes det fra Shahzad sin side at A ikke kan ha utført ulovlig overvåkning av de ansatte i selskapsgruppen og at «han er rimelig sikker på» at han ville hatt kjennskap til skjulte kameraer. Datatilsynet legger like fullt til grunn den beskrivelsen av faktum som fremkommer i kontrollrapporten og opprettholder sin oppfatning om de sentrale sider ved de funn som ble gjort, er uomtvistelige. Det bestrides imidlertid ikke at B kan ha krenket ansattes rett til et privatliv ved å lese deres e post eller misbruk «av kopierte harddisker», slik Shahzad hevder.
Bokstav d) og e) «om overtredelsen er begått for å fremme overtrederens interesser» og «om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen»
Fra virksomhetens side er det gjentatte ganger vist til at det var nødvendig å gjennomføre skjulte lydopptak for å ivareta TGs interesser. Det er pekt på at opptakene tjener som dokumentasjon av betydning. Datatilsynet stiller seg på den bakgrunn undrende til anførselen om at bruddene på personopplysningsloven likevel ikke tjener TGs interesser. Det er det tilstrekkelig å peke på innholdet i klagen på Datatilsynets vedtak for å dokumentere at hensikten med lovovertredelsen nettopp var å tjene TGs interesse, eksempelvis klagens punkt 2.2.
Bokstav f) «om det foreligger gjentakelse»
Datatilsynet holder fast på at det etter en samlet vurdering av de mangler og overtredelser som ble avdekket under kontrollen, ikke er dekkende å beskrive avvikene som et enkelttilfelle. Datatilsynet har imidlertid ikke lagt avgjørende vekt på dette kriteriet. Det bemerkes likevel at Datatilsynet har gjennomført kontroll av virksomheten tidligere og avdekket avvik. Når det på nytt har blitt avdekket grove avvik legges det videre til grunn at det foreligger en viss fare for gjentakelse.
Samlet sett fremstår det verken som vilkårlig, urimelig eller uforholdsmessig å ilegge overtredelsesgebyr i denne saken.
5.4 Utmåling av overtredelsesgebyret
De avgjørende vurderingskriteriene ved utmålingen av gebyrets størrelse er overtredelsens grovhet, overtrederens økonomiske evne og hvorvidt overtrederen har blitt pålagt øvrige reaksjoner. Datatilsynet vurderer særlig bruk av hemmelige lydopptak og bruk av kameraovervåkning på arbeidsplasser uten at de ansatte gis tilstrekkelig informasjon, som grove overtredelser. Det pekes på at hemmelighold rundt innhentingen av personopplysninger i seg selv har stor betydning for overtredelsens grovhet. Videre er det opplagt at maktforholdet mellom en arbeidsgiver og de ansatte medfører at overvåkningstiltak oppleves som ytterligere inngripende på en arbeidsplass.
6 Personvernnemndas merknader
Personvernnemnda er for det første blitt bedt om å avklare tipserens identitet. Datatilsynet har opplyst at tipserens identitet ikke er nedtegnet i noe dokument. Personvernnemnda har ikke grunnlag for å sette denne opplysningen til side og konkluderer følgelig med å legge dette til grunn.
For det annet skal nemnda ta stilling til hvorvidt tilgang til kameraopptakene mangler et gyldig behandlingsgrunnlag, jf personopplysningsloven § 8 f), og om kameraovervåkning via offentlig IP-adresse (fjerntilgang) må opphøre. Det er plassert kameraer i et maskinrom som kan nås via VPN med sikker autentisering. Dette er et maskinrom som har betydning for virksomhetens drift. Nemnda skal bemerke at det å ha IT-utstyr som kan nås via nettet i dette tilfellet ikke utgjør et personvernbrudd i og med at koblingen er sikret på betryggende måte. Videre er dette en overvåkning som medfører liten potensiell personvernkrenkelse fordi de ansatte ikke har maskinrommet som normalt arbeidssted. I følge Datatilsynet kan oppsettet enkelt konfigureres slik at man får tilgang også til andre kameraer, i korridorer og øvrige ansatteområder. Nemnda finner at dette ikke er avgjørende, men skal bemerke at kameraene som overvåker ansatteområder ikke skal kobles til fjerntilgangen (VPN). Etter en interesseavveining er nemnda dermed kommet til at hensynet til bedriften går foran personvernhensyn for så vidt gjelder kameraene i maskinrommet, jf personopplysningsloven § 8 f).
For det tredje skal nemnda ta stilling til hvorvidt skjulte lydopptak må slettes. Datatilsynet har pålagt virksomheten å slette lagrede skjulte lydopptak, med mindre det kan vises til et gyldig behandlingsgrunnlag, jf personopplysningsloven § 8. Ved denne avgjørelsen delte nemnda seg i et flertall og et mindretall.
Flertallets begrunnelse:
I saken er det tale om lydopptak foretatt ved bruk av diktafon av type Sony eller Olympus. Opptakene er blitt startet og stanset manuelt. Lydopptakene er lagret på minnekort som er merket med dato. Opptakene er manuelle og ikke søkbare. Personvernnemnda kom i en klagesak fra 2005 (PVN-2005-01) til at slike opptak faller utenfor personopplysningslovens saklige virkeområde, jf personopplysningsloven § 3. Det er uansett ikke påkrevet for nemnda å ta stilling til om opptaksutstyret i denne saken er «elektronisk», jf personopplysningsloven § 3. Etter nemndas mening foreligger det under enhver omstendighet lovlig behandlingsgrunnlag etter personopplysningsloven § 8 f). I denne saken er det ikke tvil om at klager opplever grove trusler, jf politianmeldelsen. En person som opplever seg utsatt for så grove trusler som i denne saken må kunne ta opp samtaler han deltar i. Lydopptakene kan dermed beholdes.
Mindretallet (Gisle Hannemyr) har ønsket å ta dissens på dette punkt:
I denne saken har nemnda kommet til at manuelle lydopptak skal vurderes opp mot personopplysningsloven (jf § 8 f). I tidligere saker (jf PVN-2005-01 og forarbeidene til loven) har nemnda kommet til at manuelle lydopptak ikke omfattes av personopplysningsloven. Rettstilstanden er ikke endret siden 2005. Det som er endret er tilgjengeligheten av opptaksutstyr, i og med enhver smart-telefon i dag har en innebygget mulighet til å ta opp samtaler man selv deltar i. Gitt at dette utstyret i dag er lovlig å omsette, virker det noe umotivert å benytte et vedtak i personvernnemnda til å flytte bruk som tidligere ikke har vært ansett som regulert av personopplysningsloven, inn under personopplysningsloven. En slik utvidelse av lovens virkeområde framstår også som uhensiktsmessig, fordi det neppe er praktisk mulig for Datatilsynet eller andre å overprøve hjemmelsgrunnlaget for de aller fleste av de lydopptakene som gjøres med slikt utstyr. Å insistere på at dette reguleres av personopplysningsloven åpner for en vilkårlig rettshåndhevelse der alle som benytter seg av utstyrets opptaksmulighet kan være potensielle lovbrytere, og som det derfor er skapt hjemmel for myndigheter å gripe inn overfor. På grunn av ovenstående betraktninger ønsker Gisle Hannemyr ikke å slutte seg til vedtaket om at manuelle lydopptak skal vurderes opp mot personopplysningsloven § 8 f, men vil holde fast ved nemndas tidligere vedtak (PVN-2005-01) og begrunnelse for dette, og dermed legge til grunn at de i denne saken omstridte opptak ikke omfattes av personopplysningsloven.
Nemnda skal endelig ta stilling til det ilagte gebyret for overtredelse av personopplysningsloven, jf personopplysningsloven § 46. Med den begrunnelse som er angitt ovenfor foreligger det ikke grunnlag for å ilegge gebyr i denne saken. Legalitetsprinsippet krever ved bruk av slik sanksjonsmiddel betydelig klarhet.
7 Vedtak
Klagen tas til følge.
Oslo, 10. juni 2014
Eva I E Jarbekk
Leder