Personvernnemndas avgjørelse av 10. oktober 2016 (Eva I E Jarbekk, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på vedtak om pålegg og ileggelse av overtredelsesgebyr overfor Hovedredningssentralen (HRS) Nord-Norge.
2 Saksgang og faktum
Den 28. mai 2014 gjennomførte Datatilsynet tilsyn hos HRS Nord-Norge. Tilsynet var en dokumentkontroll av rutinene for internkontroll og informasjonssikkerhet. De avvik som ble avdekket i kontrollen ble beskrevet i varsel om vedtak av 3. desember 2014 og den foreløpige kontrollrapporten. I brev av 9. februar 2015 innga HRS Nord-Norge tilsvar på varselet.
Endelig kontrollrapport med vedtak om pålegg og overtredelsesgebyr ble gitt i brev av 30. april 2015.
Den 11. juni 2015 påklaget HRS Nord-Norge Datatilsynets vedtak av 30. april 2015 om pålegg etter personopplysningsloven og ileggelse av overtredelsesgebyr for å ha behandlet personopplysninger uten å ha etablert tilfredsstillende og dokumenterbare tiltak for å sikre at behandlingen skjer i tråd med personopplysningslovens bestemmelser (internkontroll) og uten å sørge for tilfredsstillende informasjonssikkerhet ved behandlingen.
På bakgrunn av HRS Nord-Norges klage har Datatilsynet korrigert kontrollrapporten på to punkter. Disse punktene er ikke relatert til noen av vedtakene som er gitt, men gir et riktigere bilde av kontrollen.
I brev av 7. august 2015 korrigerte Datatilsynet kontrollrapporten på følgende punkter: Nytt pkt. 6.1.1 er korrigert til:
Faktiske forhold og vurdering
Virksomheten har ikke etablert noe fullgodt internkontrollsystem etter § 14. Det er videre tydelig at virksomheten mangler IT-kompetanse, da alle IT-tjenester baserer seg på innleide tjenester. I henhold til HRS Nord-Norge har dette bl.a. medført at tilstøtende regelverk som bl.a. personopplysningsloven ikke har hatt tilstrekkelig fokus i virksomheten, med det resultat at man ikke har etablert noe fullgodt internkontrollsystem. Manglende IT-kompetanse kan aldri være noen unnskyldning for ikke å ha etablert et internkontrollsystem.Konklusjon
Internkontrollsystemet er mangelfullt, men det konstateres ikke noe avvik på dette punkt.
I samme brev korrigerte også Datatilsynet kontrollrapportens pkt. 6.1.4.4 om manglende konsesjon. Det ble ikke fattet pålegg knyttet til dette, jf. vurderingen som fulgte av vedtaksbrev av 30. april 2015.
Datatilsynets vedtak lyder:
- HRS Nord-Norge pålegges i medhold av personopplysningsloven § 46, fjerde ledd, jf. § 14, jf. forskriften § 3-1 å etablere, dokumentere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven (internkontroll):
- rutiner for ivaretakelse av enhvers krav om innsyn i HRS Nord-Norges behandlinger av personopplysninger og den registrertes rett til innsyn i egne opplysninger etter § 18, første og andre ledd, jf. forskriften § 3-1, tredje ledd bokstav d). Det vises til kontrollrapportens pkt. 6.1.4.1
- rutiner for ivaretakelse av den registrertes rettigheter til informasjon etter §§ 19 og 20, jf. § 14 jf. forskriften§ 3-1, tredje ledd bokstav d). Det vises til kontrollrapportens pkt. 6.1.4.2.
- rutiner for retting og sletting, i samsvar med §§ 27 og 28, jf. § 14, jf. forskriften § 3-1, tredje ledd bokstav c). Se kontrollrapportens pkt. 6.1.4.3.
- rutiner for oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt etter §§ 31 og 33, jf. § 14, jf. forskriften § 3-1, tredje ledd bokstav f). Det vises til kontrollrapportens pkt. 6.1.4.4.
- HRS Nord-Norge pålegges i medhold av personopplysningsloven § 46, fjerde ledd, jf. §§ 14 og 13, jf. forskriften § 2-4 første ledd å utarbeide en oversikt over behandlinger av personopplysninger som viser hvilke personopplysninger som behandles, formålet med behandlingen og lovgrunnlaget. Det vises til kontrollrapportens pkt. 6.1.3.
- HRS Nord-Norge pålegges i medhold av personopplysningsloven § 46, fjerde ledd, jf. § 13, jf. forskriften § 2-3 å etablere en sikkerhetsstrategi. Se kontrollrapportens § 6.2.1.
- HRS Nord-Norge pålegges i medhold av personopplysningsloven § 46, fjerde ledd, jf. § 13, jf. forskriften § 2-4, andre ledd å gjennomføre risikovurderinger av informasjonssystemet. Se kontrollrapportens pkt. 6.2.2.
- HRS Nord-Norge pålegges i medhold av personopplysningsloven § 46, fjerde ledd, jf. § 13, jf. forskriften § 2-5 å etablere rutiner for og gjennomføre sikkerhetsrevisjon. Se kontrollrapportens pkt. 6.2.3.
- HRS Nord-Norge pålegges i medhold av personopplysningsloven § 46, fjerde ledd, jf. § 13, jf. forskriften § 2-6 å etablere rutiner for avviksmelding og for avviksbehandling og behandling av sikkerhetsbrudd. Se kontrollrapportens pkt. 6.2.4.
- HRS Nord-Norge pålegges i medhold av personopplysningsloven § 46, fjerde ledd, jf. § 13, jf. forskriften §§ 2-11, 2-12, 2-13 og 2-14 å innføre og dokumentere sikkerhetstiltak. Det vises til kontrollrapportens pkt. 6.2.5.
- HRS Nord-Norge pålegges i medhold av personopplysningsloven§ 46, fjerde ledd, jf. § 13, jf. forskriften § 2-8 å etablere rutiner for og gjennomføre opplæring av ansatte for sikker bruk av informasjonssystemet. Se kontrollrapportens pkt. 6.2.6.
Vedtak om overtredelsesgebyr
HRS Nord-Norge pålegges i medhold av personopplysningslovens § 46, første ledd, jf. §§ 13 og 14 å betale et overtredelsesgebyr til statskassen, stort kroner 50.000 – femtitusen, for å ha behandlet personopplysninger uten å etablere dokumenterbare og tilfredsstillende tiltak for å sikre at behandlingen skjer i tråd med personopplysningslovens bestemmelser (internkontroll) og uten å sørge for tilfredsstillende informasjonssikkerhet ved behandlingen.
Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. § 47a.
Saken ble oversendt Personvernnemnda 5. januar 2016, som mottok saken 11. januar 2016. Klager ble orientert om dette i brev fra nemnda datert 15.1.2016, med frist til uttalelse innen 5. februar 2016. Klager kommenterte ikke saken innen fristen. Personvernnemnda tilskrev Politiet i Salten og Datatilsynet i brev av 19. mai 2016 med spørsmål i saken. HRS Nord-Norge besvarte henvendelsen i epost av 13. juni 2016. Den 21. juni 2016 purret Personvernnemnda på svar fra Datatilsynet. Samme dag sendte nemnda epost til HRS Nord-Norge med oppfølgingsspørsmål. HRS besvarte henvendelsen samme dag. Den 27. juni 2016 besvarte Datatilsynet nemndas henvendelse.
3 Klagers anførsler
3.1 Anførslene
HRS Nord-Norge har påklaget:
- at fravær av dokumenterte rutiner for ivaretakelse av informasjonsplikten kan anses som et avvik, jf. vedtak nr. 1 b),
- at fravær av dokumenterte rutiner for vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandlingen av opplysningene er et avvik, jf. vedtak nr. 1 c),
- at det ikke er utarbeidet en sikkerhetsstrategi, jf. vedtak nr. 3,
- at det ikke er gjennomført risikovurderinger, jf. vedtak nr. 4,
- at det er et avvik at enkelte elementer av sikkerhetstiltak ikke er på plass, jf. vedtak nr. 7,
- at det ikke er etablert rutiner for opplæring av ansatte, jf. vedtak nr. 8,
- at kravene for å gi pålegg om overtredelsesgebyr er oppfylt.
Vedtak nr. l a), 1 d), 2, 5 og 6 omfattes ikke av klagen.
3.2 Anførsel nr 1 – at fravær av dokumenterte rutiner for ivaretakelse av informasjonsplikten ikke kan anses som avvik – se vedtak nr. 1 b) og kontrollrapportens pkt. 6.1.4.2
HRS Nord-Norge anfører at fravær av dokumenterte rutiner for ivaretakelse av informasjonsplikten etter personopplysningsloven § 19 ikke kan anses som et avvik da den i liten grad er relevant for virksomheten.
3.3 Anførsel nr 2 – at fravær av dokumenterte rutiner for vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandlingen av opplysningene ikke er et avvik – se vedtak nr. 1 c) og kontrollrapportens pkt. 6.1.4.3
HRS Nord-Norge anfører videre at det ikke er noe avvik knyttet til fravær av dokumenterte rutiner for virksomhetens logg (journal). Dette begrunnes ikke i klagen, men det vises til brev av 9. februar 2015. Her vedkjenner HRS Nord-Norge at det er mangelfulle rutiner knyttet til §§ 27 og 28 og at disse vil utbedres.
HRS Nord-Norge anfører at journalen ikke er å anse som data i et systematisk personregister. Det påpekes at det kun registreres opplysninger for å ivareta HRS Nord-Norge sitt samfunnskritiske oppdrag, og at verktøyet benyttes som en beslutningsstøtte hvor aktuelle hendelser, oppdrag og nødmeldinger er utgangspunktet for registreringen. Det registreres også opplysninger av betydning for planlegging og gjennomføring av operasjonene. I den forbindelse vil det også registreres personopplysninger hvor dette er nødvendig og relevant. Klager viser til at personopplysningene knyttes til den aktuelle redningshendelsen og så ledes ikke kan regnes som data i et systematisk personregister.
HRS Nord-Norge hevder at saksbehandlingsløsningen for virksomheten er å sammenligne med politiets vaktjournal, slik den er regulert i politiregisterloven § 10 jf. politiregisterforskriften kapittel 53. Det påpekes at ved slik registrering vil hensynet til notoritet være av avgjørende betydning, både av hensyn til ivaretakelsen av virksomhetens oppdrag og for å sikre etterprøvbarhet i et større samfunnsperspektiv.
HRS Nord-Norge påpeker at utgangspunktet for vurdering av retting er at opplysningene i saksbehandlingsverktøyet registreres i sann tid og at informasjonen skal gi et øyeblikksbilde av oppdraget eller hendelsen slik det eller den fremsto på registreringstidspunktet. Kravet til korrekte opplysninger må slik HRS Nord-Norge vurderer det være slik kilden ga dem. Det vises her til politiregisterloven § 6 fjerde ledd, samt til internasjonale bestemmelser om dokumentasjon av redningshendelser. HRS Nord-Norge mener terskelen for å rette personopplysninger derfor må ligge høyt.
HRS Nord-Norge viser i sin begrunnelse bl.a. til sitt tilsvar av 9. februar 2015. I brev av 9. februar 2015 side 9, 2. avsnitt vedkjennes at det er behov for å utarbeide rutiner for retting av opplysninger i medhold av personopplysningsloven § 27.
Når det gjelder sletteplikten etter personopplysningsloven § 28 opplyser HRS Nord-Norge at det foreligger en arkivinstruks, og at denne vil bli utarbeidet i tråd med personopplysningsloven § 28 for avlevering av arkivmateriale til arkivverket.
3.4 Anførsel nr 3 – a at det ikke er utarbeidet en sikkerhetsstrategi – se vedtak nr. 3 og kontrollrapportens pkt. 6.2.1
HRS Nord-Norge anfører at det er utarbeidet en sikkerhetspolicy som en har ansett som en sikkerhetsstrategi, og at det således ikke er noe avvik.
3.5 Til anførsel nr. 4 – at det ikke er gjennomført risikovurderinger – se vedtak nr. 4 og kontrollrapportens pkt. 6.2.2
HRS Nord-Norge anfører at det fremgår av Hovedredningssentralenes tertialrapport nr. 1 2014 at risiko og sårbarhets-vurdering av IT-sikkerhet er gjennomført, men vedkjenner at ut over dette så har de ikke foretatt risiko og sårbarhets-analyser i henhold til personopplysningslovens forskrifter § 2-4. HRS Nord-Norge hevder at dette ikke er et avvik.
3.6 Til anførsel nr. 5 – at det er for strengt å fatte vedtak om manglende sikkerhetstiltak – se vedtak nr. 7 og kontrollrapportens pkt. 6.2.5
HRS Nord-Norge anfører at de har en rekke sikkerhetstiltak som er dokumentert, men at det medfører riktighet at slike sikkerhetstiltak ikke var på plass når det gjelder enkelte elementer som bruk av minnepinner og klipp- og lim funksjoner. HRS Nord-Norge anser det i overkant strengt å fatte vedtak om pålegg, da dette ikke kan regnes som et avvik.
3.7 Til anførsel nr. 6 – at det ikke er etablert rutiner for opplæring av ansatte – se vedtak nr. 8 og kontrollrapportens pkt. 6.2.6
HRS Nord-Norge anfører at de har et omfattende opplæringsopplegg av nye medarbeidere, hvor det blant annet gis opplæring i etikk og hvordan sensitive opplysninger skal håndteres, men at opplegget har et forbedringspotensial. HRS Nord-Norge regner ikke dette som noe alvorlig avvik, og påklager derfor at dette skal regnes som avvik.
3.8 Til anførsel nr. 7 – at kravene for å gi pålegg om overtredelsesgebyr ikke er oppfylt
HRS Nord-Norge klager på at virksomheten er ilagt overtredelsesgebyr. HRS Nord-Norge anfører
- at Datatilsynet må påvise klar sannsynlighetsovervekt for å kunne ilegge gebyr,
- at Datatilsynets pålegg/merknader ville bli fulgt opp og
- at mangelfullt internkontrollsystem ikke hadde ført til noen konsekvenser for de registrerte.
Dessuten reiser HRS Nord-Norge spørsmål ved Datatilsynets motivasjon for å benytte HRS Nord-Norge som et objekt for å oppnå en allmennpreventiv effekt ved ivaretakelsen av personopplysningsloven i offentlig sektor.
4 Datatilsynets vurdering
4.1 Konsesjonsplikt og forholdet til politiloven § 27
HRS Nord-Norge er ikke enig med Datatilsynet i vurderingen av at personopplysningene er underlagt konsesjonsplikt etter § 33, og viser i den sammenheng til § 33 femte ledd som fritar organ for stat eller kommune fra konsesjonsplikten når behandlingen har hjemmel i lov. I tilsvaret på pekes det at det følger av politiloven § 27 at det tilligger politiet å iverksette og igangsette redningsinnsats der menneskers liv og helse er truet. Som en følge av Datatilsynets kontroll har Politidirektoratet sett det formålstjenlig å presisere at Hovedredningssentralene faller inn under denne bestemmelsen.
Det generelle utgangspunktet er ifølge forarbeidene til personopplysningsloven at hjemmelskravet i § 33 femte ledd skal tolkes strengt:
For at et personregister skal være fritatt for konsesjon i medhold av denne bestemmelsen, kreves det at det eksplisitt fremgår av loven at det skal eller kan føres et register. Det er ikke tilstrekkelig at en særlov hjemler en aktivitet som gjør opprettelse av et personregister nødvendig.
I tilsvaret fra HRS Nord-Norge tilkjennegis det at «bestemmelsen angir rett nok ikke positivt hvilke personopplysninger som kan behandles i denne sammenheng, men det er en klar forutsetning at det kan behandles nødvendige og relevante opplysninger for å oppnå formålet med behandlingen».
Politiloven § 27 fremstår i denne sammenheng ikke så klar og tydelig som forutsetningen for anvendelse av bestemmelsen tilsier. Datatilsynet kan heller ikke se at henvisningen til internasjonale konvensjoner endrer på dette; selv om disse påpeker at oppdrag og hendelser skal dokumenteres tilfredsstillende. Datatilsynet står derfor fast ved sin opprinnelige vurdering om at det er konsesjonsplikter etter § 33, og det konstateres avvik knyttet til dette i kontrollrapporten.
Datatilsynet ser det imidlertid som mer hensiktsmessig at det gis en tilstrekkelig regulering i lov av behandlingen som finner sted ved Hovedredningssentralen i Nord-Norge (og tilsvarende for HRS Sør-Norge), enn at behandlingen reguleres gjennom konsesjon fra Datatilsynet. Hovedredningssentralenes viktige funksjon i samfunnet, samt de forpliktelser landet har etter internasjonale konvensjoner tilsier at behandlingen av personopplysninger bør lovreguleres. Datatilsynet fatter derfor ikke vedtak om at det skal søkes om konsesjon på dette tidspunkt. Datatilsynet vil ta nødvendig kontakt med Justisdepartementet for å få på plass ny lovgivning som regulerer dette området på en mer tydelig måte enn politiloven § 27.
4.2 Anførsel nr 1 – at fravær av dokumenterte rutiner for ivaretakelse av informasjonsplikten ikke kan anses som avvik – se vedtak nr. 1 b) og kontrollrapportens pkt. 6.1.4.2
Datatilsynet bemerker at dette omtales i kontrollrapportens pkt. 6.1.4.2:
Faktiske forhold
Det er ikke utferdiget dokumenterte rutiner for ivaretakelse av den registrertes krav på informasjon etter §§ 19 og 20. Det fremgikk heller ikke i hvilken grad disse pliktene er relevant for de ulike behandlingene.Konklusjon
Manglede dokumenterte rutiner for ivaretakelse av §§ 19 og 20 er et avvik fra krav om internkontroll etter § 14, jf. forskriften§ 3-1, tredje ledd bokstav d).Datatilsynet ser at informasjonsplikten etter § 19 i begrenset grad kommer til anvendelse. Vurderingene knyttet til dette bør imidlertid fremgå av internkontrollen. Datatilsynet legger videre til grunn at virksomheten kan ha unntak fra informasjonsplikten der hvor det behandles personopplysninger i henhold til lovhjemler.
Datatilsynet ønsker å poengtere at selv om man er enig med HRS Nord-Norge i at informasjonsplikten etter § 19 har liten relevans for virksomheten, fritar dette ikke fra plikten til å avklare dette spørsmålet i virksomhetens internkontroll. Det at bestemmelsen har liten relevans er en konklusjon som skal framgå av dokumentene som skal sikre at kravene i personopplysningsloven etterleves. Dette var heller ikke dokumentert i forhold til egne ansatte noe som Datatilsynet eksempelvis anser som en relevant gruppe registrerte.
4.3 Anførsel nr 2 – at fravær av dokumenterte rutiner for vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandlingen av opplysningene ikke er et avvik – se vedtak nr. 1 c) og kontrollrapportens pkt. 6.1.4.3
Datatilsynet har stor forståelse for at det er viktig å oppbevare opplysninger som er samlet inn i sann tid for å sikre etterprøvbarhet. Arkivloven har også betydning i så måte. Dette er imidlertid ikke tilstrekkelig til å oppfylle kravene etter personopplysningslovens forskrifter § 3-1. Slik Datatilsynet ser det, er dette en alt for generell rutine. Hvilke rutiner har f.eks. HRS Nord-Norge hvis en registrert beviselig synliggjør at faktiske personopplysninger er feil? Personopplysningsloven §§ 27 og 28 har et annet formål enn arkivloven og kan i enkelte sammenhenger sette denne til side, se § 27, 3. ledd. HRS Nord-Norge må ta utgangspunkt i de ulike behandlingene, vurdere i hvilken grad plikten er aktuell og lage de nødvendige rutiner. Slik rutinen er i dag skaper den liten forutberegnelighet. Det er viktig at virksomheten utarbeider rutiner for håndtering av denne type krav, og ikke bare henviser til eksisterende arkivinstruks og internasjonalt regelverk. Det bemerkes at det trolig ikke er behov for svært utfyllende rutiner, men virksomheten må sikre at slike henvendelser blir håndtert forsvarlig, og for eksempel ikke avvist feilaktig.
HRS Nord-Norge anfører også at personopplysninger knyttes til den aktuelle redningshendelsen og er således ikke å anse som data i et systematisk personregister. Henvisningen til at personopplysningene må ligge lagret systematisk fremkommer av definisjonen på personregister i personopplysningsloven § 2 nr. 3), men har bare aktualitet på vurderingen av manuelle personregister. Personopplysningsloven gjelder behandling av personopplysninger. Denne forskjellen fremkommer tydelig i personopplysningsloven § 3 bokstav a). Det essensielle er ikke hvorvidt personopplysningene ligger systematisk i et personregister, men hvorvidt det behandles personopplysninger og om det skjer med elektroniske hjelpemidler, noe som er tilfellet her. Personopplysningsloven gjelder således også i de tilfeller hvor personopplysningene bare fremkommer som en tilknytning til redningshendelsen.
Det bemerkes videre at HRS Nord-Norge langt på vei ivaretar internkontrollplikten dersom vurderingene som følger klagen her settes inn i en systematisk kontekst. Fravær av slike rutiner er et avvik.
4.4 Anførsel nr 3 – a at det ikke er utarbeidet en sikkerhetsstrategi – se vedtak nr. 3 og kontrollrapportens pkt. 6.2.1
Datatilsynet er enig med HRS Nord-Norge at det ikke skal ha noen betydning hva virksomheten har valgt å kalle dokumentet. Datatilsynet har forholdt seg til hva som framgår av IT Sikkerhetshåndbok for Hovedredningssentralen for Nord-Norge. Her fremgår det at virksomheten har uttrykte sikkerhetsmål. Dokumentet definerer også en sikkerhetsledelse og organisasjon. Datatilsynet kan imidlertid ikke se at det er utarbeidet noen strategi for arbeidet med sikkerhet som sier noe om hvordan man skal nå de definerte mål. Dette er en del av de styrende dokumenter og skal omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Dette går på fordeling av arbeidsoppgaver mellom ledelse og driftspersonell, og beslutning om eventuelt å ta i bruk eksterne leverandører i sikkerhetsarbeidet. Derfor er dette å regne som et avvik.
4.5 Til anførsel nr. 4 – at det ikke er gjennomført risikovurderinger – se vedtak nr. 4 og kontrollrapportens pkt. 6.2.2
Datatilsynet konstaterte under kontrollen at HRS Nord-Norge ikke hadde dokumentert sine risikovurderinger. Under kontrollen kom det fram at HRS Nord-Norge til en viss grad hadde risikovurdert sine løsninger, men dog ikke etter § 2-4. Risikovurderingene var imidlertid ikke dokumentert. Det er ikke et krav om at det skal gjennomføres dedikerte risikovurdering for å ivareta kravet om risikovurderinger etter forskriften 2-4, men personopplysningene må være identifisert som en informasjonsverdi som skal sikres med hensyn til konfidensialitet, integritet og tilgjengelighet, jf. § 2-4, 1. og 2. ledd. Andre ROS-vurderinger kan være relevant, men er ikke nødvendigvis dekkende. Siden det ikke forelå dokumentasjon av noen risikovurderinger i dette tilfellet, er det for Datatilsynet klart at det her var et avvik fra personopplysningsforskriften § 2-4.
4.6 Til anførsel nr. 5 – at det er for strengt å fatte vedtak om manglende sikkerhetstiltak – se vedtak nr. 7 og kontrollrapportens pkt. 6.2.5
I kontrollrapportens pkt. 6.2.5 konstaterte Datatilsynet at brukere kan overføre data ved hjelp av minnepinner og ved klipp og lim til epost ut av sikker sone, uten at det er etablert kompenserende sikkerhetstiltak, og at dette ikke ga tilfredsstillende konfidensialitetssikring. Det å sikre konfidensielle opplysninger er en viktig del av informasjonssikkerhetsdelen av personvernet. HRS Nord-Norge har ikke dokumentert at kompenserende tiltak for å beskytte slike personopplysninger finnes; eller at forholdet var risikovurdert. Det er viktig å beskytte sensitive personopplysning slik at disse ikke hentes ut av sikker sone uten at dette skjer på en betryggende måte. Det bemerkes at det her ikke stilles krav om ett konkret sikkerhetstiltak da avviket kan lukkes på ulike måter. Det er derfor opp til behandlingsansvarlig å velge hvilke tiltak som skal innføres for å sikre at en eventuell uthenting av sensitive personopplysninger fra sikker sone skjer på en betryggende måte.
4.7 Til anførsel nr. 6 – at det ikke er etablert rutiner for opplæring av ansatte – se vedtak nr. 8 og kontrollrapportens pkt. 6.2.6
Hvorvidt et avvik er alvorlig eller ikke har liten betydning i forhold til hvorvidt det skal fattes vedtak om pålegg eller ikke. Alvorlighetsgraden kan imidlertid ha betydning for vurderingen av overtredelsesgebyr. Det er derfor etter Datatilsynets syn ikke grunnlag for å omgjøre vedtaket på dette punktet.
4.8 Til anførsel nr. 7 – at kravene for å gi pålegg om overtredelsesgebyr ikke er oppfylt
Adgangen til å ilegge overtredelsesgebyr er gitt som et virkemiddel for å sikre effektiv etterlevelse og håndhevelse av personopplysningsloven. Internrettslig er overtredelsesgebyr ikke å anse som en straff, men en administrativ sanksjon. Det må imidlertid antas at overtredelsesgebyr er å anse som straff etter EMK (den europeiske menneskerettighetskonvensjonen) art 6, og i samsvar med Høyesteretts praksis, jf. Rt. 2012 side 1556 med videre henvisninger, legger derfor Datatilsynet til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge gebyr. Saksforholdet og spørsmålet om å ilegge overtredelsesgebyr er vurdert med utgangspunkt i dette beviskravet.
Ved vurderingen om det skal ilegges et overtredelsgebyr er det lagt vekt på at internkontroll er en nødvendig forutsetning for at den behandlingsansvarlige skal kunne forsikre seg om, og løpende kontrollere at virksomheten til enhver tid følger personopplysningslovens bestemmelser. Datatilsynet mener at mangelen ved internkontrollen som ble avdekket og derigjennom manglende dokumenterte rutiner er et betydelig avvik og må ansees alvorlig i forhold til de interesser loven verner, jfr. § 46, andre ledd bokstav a).
HRS Nord Norge påpeker at selv om det var visse mangler ved deres internkontroll så var disse fulgt opp og ville være på plass i et helhetlig internkontrollsystem innen 25. juni 2015.
Avgjørende for Datatilsynet er tilstanden på kontrolltidspunktet, og alvorligheten av de avvik som framkommer i kontrollrapporten. At enkelte avvik senere er lukket er bra, men har for så vidt liten betydning for vurderingen av om overtredelsesgebyr skal ilegges eller ikke.
At avvik som ble avdekket ikke har ført til kjente negative konsekvenser for de registrerte er ikke et betydelig argument ved vurderingen om overtredelsesgebyr skal gis. Datatilsynet vektlegger risikoen for avvik og pliktsubjektenes evne til å oppdage avvik, og hva som er gjort for å hindre uønskede hendelser som vel så viktig i vurderingen av om man anser et avvik som alvorlig eller ikke.
Forventningen om at et offentlig organ setter seg grundig inn i personopplysningsregelverket og etablerer gode rutiner for å sikre etterlevelsen av det har betydning for vurderingen av skyldgraden etter § 46, andre ledd bokstav b). Det kan her vises til at HRS Nord-Norge behandler sensitive personopplysninger i sin virksomhet. At de på kontrolltidspunktet ikke kunne vise at de hadde rutiner for dette vektlegger tilsynet i skjerpende retning, både når det gjelder vurderingen av om gebyr skal ilegges og ved utmåling.
Datatilsynet har også lagt vekt på at mangelfull internkontroll og lovstridig praksis øker risikoen betydelig for negative konsekvenser for de registrerte. Kontrollen avdekker også at det ikke er foretatt tilstrekkelige risikovurdering i henhold til forskriften § 2-4. Det gjør at HRS Nord-Norge i liten grad er i stand til å forutse potensielle konsekvenser for personvernet og andre sikkerhetshendelser som omfatter personopplysninger. Plikten etter denne bestemmelsen er også et uttrykk for en interesse loven verner, jf. § 46 andre ledd bokstav a), og brudd på plikten er et argument for ileggelse av overtredelsesgebyr.
At de risikovurderinger som er foretatt i liten grad er dokumentert gjør det i tillegg tilnærmet umulig for tilsynsmyndigheten å føre den kontroll som følger av loven. Uten skriftlighet er det umulig å stadfeste om virksomheten i tilstrekkelig grad har vurdert risiko for sin egen behandling av personopplysninger.
Kravet om at internkontrollen skal være dokumentert og systematisk er også viktig for å sette den behandlingsansvarlige i stand til å implementere rutiner. I tillegg til at det er en legal plikt til å dokumentere tiltakene, er det etter tilsynets oppfatning også av avgjørende betydning for å sikre at rutiner kan gjenfinnes og kommuniseres enhetlig internt i en organisasjon, samt overfor tilsynsmyndigheten.
Det fragmenterte bildet som HRS Nord-Norge fremviste har klare mangler både når det gjelder systematikk, påviselig dokumentasjon og evne til å bevise at de er implementert i organisasjonen.
Datatilsynet kan ikke påvise gjentakelse direkte i og med at dette er første gang dette påpekes overfor HRS Nord-Norge, jf. § 46, fjerde ledd bokstav f), men at forholdet har vart i mange år vurderes som skjerpende i relasjon til graden av skyld, jf. bokstav b).
Datatilsynet konkluderer derfor med at det er en klar sannsynlighetsovervekt for at lovovertredelse har funnet sted.
Manglene er av en slik art og omfang at det etter tilsynets oppfatning medfører en uholdbar risiko for at HRS Nord-Norge i praksis har brutt og fremdeles bryter helt sentrale bestemmelser i personopplysningsloven, uten at dette kan oppdages av virksomheten selv eller tilsynsmyndigheten. Mangelen ansees også av den grunn skjerpende i vurderingen av om overtredelsesgebyr skal ilegges jf. § 46, andre ledd bokstav c), hvor det skal vektlegges om retningslinjer mv. kunne forebygget overtredelsen.
Overtrederens økonomiske evne er det i liten grad lagt vekt på, jf. § 46, fjerde ledd bokstav h) Utgangspunktet er at et overtredelsesgebyr skal være av en størrelse som sett i forhold til overtreders økonomi gir en merkbar reaksjon. Holdt opp mot HRS Nord-Norges totale økonomi er et gebyr på kr 50 000 en beskjeden sum i forhold til virksomhetens totale utgifter. Sett i dette perspektivet må økonomisk evne vurderes som uten betydning for om gebyr skal ilegges i denne størrelsesorden. Overtredelsens karakter og alvorlighet er i denne saken hovedbegrunnelsen til at overtredelsesgebyr ilegges.
Endelig påpeker HRS Nord-Norge at såfremt Datatilsynet opprettholder pålegget om overtredelsesgebyr må tilsynet «i samsvar med Personvernnemndas avgjørelse i sak PVN-2014-1 angi de faktiske forhold som etter Datatilsynets vurdering begrunner at det med tilstrekkelig strafferettslig sannsynlighetsovervekt foreligger et straffeansvar».
Det vises her til Datatilsynets uttalelse side 9 første avsnitt under Datatilsynets merknad. I brev av 30. april 2015 side 7 siste avsnitt har det dessverre sneket seg inn en feil idet det er henvist til departementet på to plasser, i stedet for HRS Nord-Norge.
4.9 Kritikk av offentliggjøring av endelig kontrollrapport
Endelig vil Datatilsynet opplyse at HRS Nord-Norge i e-post av 27. mai fant det merkelig at kontrollrapporten ble sendt til media før klagefristen var ute. HRS Nord-Norge påpekte at dette ville få negativ betydning for redningstjenestens omdømme og ville være krenkende overfor de som jobber ved virksomheten ettersom det aldri er rapportert eller påvist at personopplysninger er kommet på avveie.
Datatilsynet besvarte henvendelsen i e-post av l. juni 2015 hvor det påpekes at offentlighetsloven gjelder for tilsynets virksomhet, og at tilsynet ikke fant at det var hjemmel for å unnta den endelige tilsynsrapporten fra offentligheten. Det er heller ikke noe ønske fra Datatilsynet å unnta endelige rapporter. Tvert om vil dette bryte med et viktig prinsipp i forvaltningen; nemlig at offentligheten skal ha innsyn i det forvaltningen gjør.
5 Personvernnemndas syn
Behandling av personopplysninger
Personvernnemnda skal ta stilling til om HRS behandler personopplysninger, herunder sensitive personopplysninger, og om personopplysningsloven derved kommer til anvendelse. HRS er navet i redningsoperasjoner knyttet til nødretts- eller krisesituasjoner. HRS vil i den forbindelse håndtere opplysninger om hendelser vedrørende enkeltpersoner ved innsamling, kvalitetssikring og utsending av opplysninger knyttet til hendelsen i en logg som er nødvendig og relevant for selve operasjonen. Loggen inneholder opplysninger som kan knyttes til enkeltpersoner og opplysningene kan blant annet dreie seg om de registrertes helseforhold. Personopplysningslovens bestemmelser om sensitive personopplysninger kommer derfor til anvendelse.
Når redningsoperasjonen er ferdig, blir loggen oppbevart for å sikre notoritet, for analyse og for opplæring. HRS må oppbevare loggen for å kunne dokumentere hva som var handlingsgrunnlaget da HRS handlet.
HRS må ha behandlingsgrunnlag for denne behandlingen, jf personopplysningsloven §§ 8 og 9, jf § 11. Det følger av personopplysningsloven § 9 at behandlingen kan være fastsatt i lov. Plikten til å føre og oppbevare logg følger forutsetningsvis av oppnevningsgrunnlaget, jf politiloven § 27 og International Aeronautical and Maritime Search and Rescue Manual Volum I-III (IAMSAR Vol II, 2013). Det foreligger således ikke konsesjonsplikt, jf personopplysningsloven § 33 femte ledd, men personopplysningslovens øvrige bestemmelser om behandling av personopplysninger må følges.
Politiregisterlovens anvendelse
HRS skriver at politiregisterloven ikke gjelder fordi HRS ikke er en del av politiet, det vil si at politimesteren har denne oppgaven som et tillegg til sin oppgave som politi. Politimesteren i Nordland uttalte følgende i brev datert 10. juni 2016:
Politiregisterloven gjelder ikke for hendelsesloggen ved Hovedredningssentralen. Loven gjelder for politiets og påtalemyndighetens behandling av opplysninger, og Hovedredningssentralen er ikke en del av politiet eller påtalemyndigheten. Politimesteren i Nordland (tidligere Salten) politidistrikt leder riktignok HRS, men funksjonen som leder av HRS kommer i tillegg til rollen som leder for politidistriktet og er delegert til politimesteren som representant for en sentral samvirkepart i redningstjenesten (politiet) og som leder av redningsledelsen, jf Kgl. res om Organisasjonsplan for redningstjenesten pkt. 2-3 (FOR-2015-06-19-677). Selve sammenligningen med kravene til politiloggen, som tidligere er beskrevet fra vår side, er imidlertid relevant ettersom kravene til notoritet er de samme.
Nemnda tar synspunktet til etterretning og finner ikke grunn til å problematisere dette nærmere da det ikke er nødvendig for det rettslige grunnlaget som nemnda bygger på.
Avvik i internkontrollen
Datatilsynet har avdekket mangler ved rutinene for internkontroll og informasjonssikkerhet. Personopplysningsloven og personopplysningsforskriften regulerer dette. Slik nemnda forstår dokumentene i saken, har HRS ikke spesifikt hensyntatt personopplysningsforskriftens internkontrollbestemmelser, men vil gjøre dette med utgangspunkt i korrespondanse og vedtak fra Datatilsynet. Så vidt nemnda kan se har forholdet ikke resultert i konkrete, individuelle personvernkrenkelser.
Gebyrileggelsen
Personvernnemnda skal ta stilling til tilsynets gebyrileggelse. Nemnda er enig med tilsynet i at det foreligger mangler ved dokumentasjonen av internkontroll og rutiner, jf Datatilsynets pålegg. Nemnda ser det slik at HRS må innrette seg på en annen måte for å oppfylle personopplysningslovens krav og rette opp de mangler som er påpekt.
Når det gjelder gebyrileggelsen følger det av personopplysningsloven § 46 annet ledd at ved vurderingen av om overtredelsesgebyr skal ilegges og ved utmålingen, skal det særlig legges vekt på de momenter som fremgår av bokstavene a) til h).
Etter bokstav a) skal det legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. I denne saken er det ikke anført at de interesser som personopplysningsloven verner er krenket.
Etter bokstav b) skal det ved vurderingen legges vekt på om overtredelsen er resultat av et uhell eller en planmessig, villet handling. I denne saken har klager ikke forsøkt å unndra seg regelverk, men har ment at de ikke er omfattet av personopplysningsloven. Rettsvillfarelse fritar ikke, men skyldgraden er ikke høy.
Etter bokstav c) skal det legges vekt på om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen. HRS har ikke vært klar over internkontrollkravene etter personopplysningsforskriften, og har dermed ikke utarbeidet retningslinjer etc.
Etter bokstav d) skal det vektlegges om overtredelsen er begått for å sikre overtrederens interesser. Det er ikke anført at klager har hatt egeninteresse i avvikene.
Etter bokstav e) skal det legges vekt på om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen. Det er ikke anført at klager har hatt noen fordel av dette.
Etter bokstav f) skal det vektlegges om det foreligger gjentakelse. Slik nemnda ser det er overtredelsen kontinuerlig og vedvarende, men ikke en gjentatt handling. Det er følgelig ikke relevant å vektlegge bokstav f).
Etter bokstav g) skal det legges vekt på om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff. Det er ikke tilfelle i denne saken.
Etter bokstav h) skal det legges vekt på overtrederens økonomiske evne. HRS’ økonomi er begrenset og HRS har ikke en kommersiell målsetting.
Etter en helhetsvurdering hensett til de mangler som er dokumentert i saken, anser nemnda det ikke forholdsmessig å ilegge gebyr.
6 Vedtak
Klagen tas delvis til følge. Hovedredningssentralen Nord-Norge må oppfylle kravene til internkontroll, men Personvernnemnda opphever Datatilsynets vedtak om overtredelsesgebyr.
Oslo, 10. oktober 2016
Eva I E Jarbekk
Leder