Personvernnemndas vedtak 17. september 2018 (Mari Bø Haugstad, Bjørnar Borvik, Line Coll, Gisle Hannemyr, Ellen Økland Blinkenberg, Maryke Silalahi Nuth)
Saken gjelder klage fra A på Datatilsynets vedtak 24. januar 2018 om avslutning av sak om innsynsbegjæring.
Sakens bakgrunn
Etter at X skole i Y kommune hadde sendt en bekymringsmelding til barnevernet ba A om innsyn i skolens personopplysninger om A’s barn, B og C, først ved begjæring 7. juni 2017 og senere ved purring 28. juni 2017. A ba samtidig om opplysninger om behandlingsansvarlig og databehandler.
A fikk følgende svarbrev fra rektor 3. juli 2017:
«Viser til din henvendelse datert 07.06.17 der du etterspør opplysninger vedrørende Y kommune sin behandling av personopplysninger for dine barn, jf. Lov om behandling av personopplysninger § 18.
Av påfølgende henvendelse datert 28.06.17 framgår det at du ikke har mottatt svar i sakens anledning. Y kommune beklager dette. Du sikter i denne henvendelse til forvaltningslovens bestemmelser om partsinnsyn.
Formålet med veiledningsplikten i den ovennevnte lovbestemmelsen er å gi parter og andre interesserte adgang til å ivareta sine interesser i bestemte saker på beste mulige måte, jf. forvaltningsloven § 11, 1. ledd, annet punktum. God veiledning kan være avgjørende for at den enkelte skal kunne ivareta sine interesser i møte med forvaltningen.
Av din henvendelse datert 07.06.17 er det vanskelig for Y kommune å forstå nøyaktig hva innsynskravet omhandler. Vi ber derfor om en avklaring rundt ditt legitime krav. Y kommune oppfatter at du ønsker innsyn i hvilke typer personopplysninger X skole oppbevarer om dine barn, i hvilke(t) system(er) dette blir oppbevart og/eller behandlet, hvor opplysningene blir hentet fra, og hva som er formålet med å oppbevare denne informasjonen.
Vi oppfatter likevel allerede nå at du også ønsker innsyn i hvem som er den behandlingsansvarlige for opplysningene, her underforstått delegert internt organisatorisk. Dette er rektor D.
Undertegnede imøteser din tilbakemelding om hvorvidt henvendelsen er forstått korrekt, samt hvorvidt innsynskravet også omfatter konkrete dokumenter/innholdsmessige opplysninger.»
A sendte følgende e-post til rektoren 7. juli 2017:
«Med visning til Deres skrivelse datert den 03.07.17 uten noen form for arkivregistrering av skrivelsen, det bekymrer undertegnede om det er slik personlige opplysninger forvaltes?
Innsyn i hvilke personopplysninger en skole behandler, er regulert i personopplysningsloven § 18. Vi utvider vårt innsynskrav til likeledes å omhandle begge foreldre.
Jeg hører fra Dem, med forsendelse i Posten.»
A klaget X skole/Y kommune inn for Datatilsynet 10. august 2017.
Fra august 2017 gikk A’s barn på Z skole. På dette tidspunktet hadde A mottatt elevmappene på barna fra kommunen. Mappene utgjorde 28 bilag om B og 23 om C.
Rektor ved X skole opplyste i e-post til A 1. september 2017:
«Dere har fått tilsendt kopi av elevmappene til barna deres slik dere har bedt om. Originalmappene er nå på Z skole. Dersom dere har flere spørsmål angående opplysningene i mappene, kan dere ta kontakt med rektor E på Z skole.»
A klaget også til Y kommune. I kommunens svar til A 22. september 2017 uttalte skolesjefen at rektoren ved X skole etter beste evne hadde prøvd å gi A den informasjonen han etterspurte. Kommunen ga uttrykk for at det var vanskelig å forstå hva slags behandling A ønsket å få innsyn i ettersom han kun hadde henvist til personopplysningsloven § 18, og ba han om å opplyse hvilken konkret behandling av personopplysninger han mente.
Datatilsynet ba Y kommune om en redegjørelse i saken 22. september 2017, og kommunen ga en slik redegjørelse 17. oktober 2017. Kommunen framla også «Rutine for OFFENTLIGHET OG INNSYN i Y kommune» og «Håndbok, Arkiv og WebSak for skolene i Y kommune».
På spørsmål om hvordan kommunen hadde innfridd kravet om innsyn overfor A opplyste kommunen:
«Det vises her til kopi av diverse mailar som har gått mellom skule/kommune og heimen. Desse dokumenta/mailane er lagt i kronologisk rekkefølge med siste epost fyrst. Av dokument datert 03.07.2017 frå rektor C, og vidare mail, datert 22.09.2017, frå skulesjef F, kjem det tydeleg fram at vi ber heimen spesifisera kva slag opplysningar dei ynskjer innsyn i.
Viser og til mail datert 01.09.2017, frå rektor D, der A informerer heimen om at skulen har sendt kopi av elevmappa til heimen og at elevmappa er sendt vidare til ny skule, som nå er Z skole. I skulesjef F sin mail, datert 22.09.2017 kjem det også fram at skulen har sendt kopi av opplysningane i elevmappa til heimen. Det var dette […]Y kommune oppfatta at heimen ba om innsyn i.»
Datatilsynet avsluttet saken ved brev til Y kommune 4. desember 2017. Datatilsynet la til grunn at kommunen hadde gitt innsyn i overensstemmelse med det kommunen mente at de foresatte hadde bedt om innsyn i, og at kommunen hadde både evne og vilje til å etterkomme ytterligere innsynsbegjæringer fra foreldrene dersom de foresatte framsatte mer spesifikke krav om innsyn. Brevet om avslutning av saken ble sendt i kopi til A.
Etter at A igjen kontaktet Datatilsynet 11. og 14. desember 2017, fattet tilsynet vedtak om avslutning av sak og opplysning om klageadgang 24. januar 2018. Datatilsynet la til grunn at kommunen hadde gitt A innsyn i personopplysninger om A’s barn, at Y kommune har tilfredsstillende rutiner for å oppfylle innsynsretten, og at kommunen hadde vist vilje til å etterkomme ytterligere innsynsbegjæringer fra foreldrene.
A framsatte rettidig klage på Datatilsynets vedtak 2. februar 2018. Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sitt vedtak. Saken ble oversendt til Personvernnemnda 1. mars 2018. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer. A har i brev til nemnda 12. april 2018 gitt sine kommentarer. Y kommune/X skole har ikke inngitt noen uttalelse.
Saken ble behandlet i nemndas møte 17. september 2018. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Line Coll, Gisle Hannemyr, Ellen Økland Blinkenberg og Maryke Silalahi Nuth. Nemndas sekretær, Anette Klem Funderud var også tilstede.
A har i hovedsak anført
Datatilsynets oppgave er å føre kontroll etter personopplysningsregelverket. Y kommune og X skole etterlever ikke personopplysningsloven. Datatilsynet plikter å gjøre noe med dette. Datatilsynet har kun tatt Y kommune sin redegjørelse til etterretning uten å gjøre nærmere undersøkelser i saken. Dette er ikke tilstrekkelig.
Når det dreier seg om Datatilsynets bruk av ressurser og prioriteringer er det generelle og prinsipielle i saken, at personopplysningsloven skal følges. Det offentlige, skal ikke eller bør ikke forvalte etter «beste evne», «uttrykkelig vilje», eller etter hva offentlig ansatte «mener».
Foreldrene har bedt Y kommune om en oversikt over dokumenter i to elevmapper, og senere en oversikt over dokumenter skolen har på foreldrene. Dette for å kunne ivareta familiens tarv og interesser. Familien har mottatt noen papirer fra Y kommune uten nummerering, følgebrev eller referansenummer, og senere fått vite at dette er kopier av elevmappene. Foreldrene har ikke bedt om tilsendelse av en bunke papirer.
Foreldrene har derimot gjentatte ganger bedt om innsyn i henhold til personopplysningsloven § 18 første ledd bokstav d), jf. «beskrivelse av hvilke typer av personopplysninger som behandles». Det skal altså utarbeides en beskrivelse over hva skolen har av person- og personsensitive opplysninger om barna og foreldrene. Dette er fortsatt ikke imøtekommet av kommunen. Materialet som er oversendt er i beste fall svært mangelfullt. Ansatte ved X skole har benyttet dokumenter som ikke er signert, datert eller har arkivreferanse. Innsyn er heller ikke avslått eller gitt skriftlig med noen begrunnelse.
Elevmapper benyttes i undervisningssystemet. Saken er ikke bare en sak om noen forsmådde foreldre, men en sak om innhold i elevmapper, innsyn, registrering/kontroll og bruk av elevmapper i en kommune som ikke vil samarbeide. Kommunen vil ikke finne løsninger, men oversender irrelevant informasjon, kun med det formål å straffe barna og foreldrene.
Y kommune bruker ressurser på mistenkeliggjøring og setter foreldrene i et dårlig lys ved å opplyse om en henlagt barneverundersøkelse. Kommunen har ikke fått foreldrenes samtykke til at e-post kan benyttes ved oversendelse av personlig informasjon eller sensitiv personinformasjon mellom foreldrene og det offentlige.
Y kommune har tidligere oversendt følgende uttalelse på e-post:
«Skolen har utøvd sin meldeplikt til barnevernet ved bekymring og vil følgelig ikke beklage noe som er ansatte sin jobb».
I samme e-post framgår det at saken dreier seg om barna i familien. Foreldrene har et beskyttet navn. […]. Navnet er enkelt å personifisere, skulle e-posten bli sendt feil eller forsvinne på annen måte.
Datatilsynets henvisning til PVN-2017-15 har ingen relevans for denne saken.
Datatilsynets vurdering
Datatilsynets oppgave er å føre kontroll etter personopplysningsregelverket slik at enkeltpersoner ikke blir krenket gjennom bruk av personopplysninger. Retten til innsyn i personopplysninger er regulert i personopplysningsloven, og er en rettighet som Datatilsynet fører kontroll med.
Med de ressurser Datatilsynet har til rådighet, må det foretas en streng prioritering av hvilke henvendelser som skal følges opp. Behandlingen av personopplysninger som er beskrevet i denne saken er ikke av en slik karakter at tilsynet velger å forfølge den videre, og besluttet derfor å avslutte saken.
I vurderingen har Datatilsynet lagt vekt på at klager er gitt innsyn i personopplysninger som kommunen besitter, og at kommunen etter beste evne har gitt innsyn i det kommunen mener klager har bedt om innsyn i.
Det er også vektlagt at kommunen har tilfredsstillende rutiner for å oppfylle innsynsretten etter personvernregelverket, og at kommunen også har uttrykt vilje til å gi innsyn i eventuelle andre opplysninger dersom A kommer med mer spesifikke krav til hva A ønsker innsyn i.
Datatilsynet har i tillegg lagt vekt på at Personvernnemnda, i sak PVN-2017-15, har presisert at innsynsretten etter personopplysningsloven ikke innebærer en plikt for behandlingsansvarlig å gjennomgå alle saksdokumenter for å hente ut alle enkeltopplysninger. Dette er et uttrykk for at det påhviler den registrerte, eller den som på vegne av den registrerte påberoper seg retten til innsyn, et ansvar for å spesifisere hvilke personopplysninger man ønsker innsyn i.
Personvernnemndas vurdering
Saken gjelder klage på Datatilsynets vedtak 24. januar 2018 om å avslutte saken etter en realitetsbehandling hvor tilsynet ikke fant grunn til å treffe noe pålegg.
Nemnda vil først si noe om hvilken lov som kommer til anvendelse i denne saken.
A brakte saken inn for Datatilsynet 10. august 2017. Da vedtaket ble fattet i januar 2018 fulgte Datatilsynets mandat og oppgaver av personopplysningloven 2000 § 42.
Ny lov om behandling av personopplysninger (personopplysningsloven nr. 38/2018) trådte i kraft 20. juli 2018. Det følger av personopplysningsloven 2018 § 1 at Europaparlaments- og rådsforordning (EU) 679/2016 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (GDPR eller forordningen), gjelder som norsk lov fra 20. juli 2018. Fra samme tidspunkt er tidligere lov om behandling av personopplysninger (lov nr. 31/2000) opphevet.
De materielle reglene i forordningen er i stor grad en videreføring og videreutvikling av personopplysningsloven 2000. Samtidig innebærer reglene en rekke endringer, både på detaljnivå og av mer grunnleggende karakter. De registrertes rettigheter er på flere punkter styrket, jf. forarbeidene til loven, Prop. 56 LS (2017–2018) side 9.
Personopplysningsloven 2018 har overgangsregler i § 33. Det følger av denne bestemmelsen at reglene om behandling av personopplysninger som gjaldt på handlingstidspunktet, skal legges til grunn når det treffes vedtak om overtredelsesgebyr, med mindre lovgivningen på tidspunktet for avgjørelsen fører til et gunstigere resultat for den behandlingsansvarlige, jf. forbudet i Grunnloven § 97 mot av lover gis tilbakevirkende kraft. I denne saken er det ikke spørsmål om ileggelse av overtredelsesgebyr, og det følger da forutsetningsvis av personopplysningsloven 2018 § 33 at det er loven, slik den lyder på avgjørelsestidspunktet, som skal legges til grunn for Personvernnemndas vedtak.
Dette er også omtalt i forarbeidene til personopplysingsloven 2018, Prop. 56 LS (2017-2018) side 196, hvor departementet blant annet uttaler følgende:
«Det vil være en rekke saker som verserer for tilsynsmyndigheten og Personvernnemnda på ikraftsettingstidspunktet for den nye personopplysningsloven. Forordningen inneholder ingen overgangsbestemmelser som regulerer behandlingen av slike saker. Utgangspunktet vil være at vedtak hos Datatilsynet og Personvernnemnda vil måtte fattes på grunnlag av de til enhver tid gjeldende materielle regler».
Selv om saken oppsto før den nye loven trådte i kraft og Datatilsynet vurderte saken etter personopplysningsloven 2000, skal nemnda altså behandle denne saken etter personopplysningsloven 2018. Spørsmålet for nemnda blir etter dette om […] kommune/[… skole] har handlet i tråd med de bestemmelsene som følger av personopplysningsloven 2018 og GDPR vedrørende registrertes krav på innsyn i personopplysninger om dem, eventuelt dem de handler på vegne av.
Datatilsynets oppgaver følger av GDPR artikkel 57. Ifølge bestemmelsens nr. 1 bokstav a) skal Datatilsynet blant annet «føre tilsyn med og håndheve anvendelsen av denne forordning». Å ta stilling til om en enkeltperson har fått det innsynet forordningen gir rett til, er en av oppgavene som ligger innenfor Datatilsynets plikter etter loven. I dette tilfellet har Datatilsynet kommet til at Y kommune/X skole har oppfylt sine plikter etter loven og har på denne bakgrunn avsluttet saken.
I og med at A har anført at Datatilsynet ikke har gjort tilstrekkelige undersøkelser i saken, vil nemnda først si noe om Datatilsynets undersøkelsesplikt, adgang til å prioritere saker mv. Nemnda tar utgangspunkt i GDPR artikkel 57 nr. 1 bokstav f) som fastslår at Datatilsynet skal:
«behandle klager som er inngitt av en registrert […] og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist […].»
At Datatilsynet har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, er også lagt til grunn av nemnda. I PVN-2017-09 uttales følgende:
«Personvernnemnda legger til grunn at Datatilsynet som tilsynsmyndighet etter personopplysningsloven, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. En slik prioritering forutsetter at Datatilsynet i det aktuelle tilfellet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst, jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse med hensyn til hvor grundig de vurderer lovligheten av den aktuelle behandlingen av personopplysninger framstår forsvarlig. Ved denne forsvarlighetsvurderingen vil personvernhensyn være sentralt jf. lovens formål i § 1.»
A ba X skole om innsyn i sine barns personopplysninger 7. juni og 28. juni 2017. I sitt svar 3. juli 2017 anerkjente rektor at A har rett til slike opplysninger, og opplyste hvem som var behandlingsansvarlig. Samtidig ga rektor uttrykk for at kommunen ikke forsto hva innsynskravet omhandlet, og ba om en avklaring. I sitt svar 7. juli 2017 utvidet A innsynskravet til å omfatte begge foreldrene, og viste for øvrig til personopplysningsloven 2000 § 18.
Da barna begynte på Z skole høsten 2017 hadde A mottatt elevmappene til barna fra X skole, herunder 28 bilag vedørende B og 23 om C. Det var dette kommunen oppfattet at foreldrene ba om innsyn i. Det ble også orientert om at originalmappene med alle opplysningene nå var oversendt barnas nye skole.
Kommunikasjonen mellom Y kommune og A har etter dette dreid seg om at det var vanskelig å forstå hva slags behandling A ønsket å få innsyn i. Kommunen ba A i e-post 22. september 2017 nok en gang å opplyse hvilken konkret behandling han ønsket innsyn i.
Nemnda er enig med Datatilsynet i at Y kommune/X skole har etterkommet A’s anmodning og gitt A tilstrekkelig innsyn, i tråd med de rettigheter han har etter personopplysningsloven 2018. Etter nemndas syn har Y kommune/X skole oppfylt sin plikt etter GDPR artikkel 15 nr. 1 og nr. 3 overfor A.
I likhet med Datatilsynet legger nemnda til grunn at det påhviler den registrerte, eller den som på vegne av den registrerte påberoper seg retten til innsyn, et ansvar for å spesifisere hva eller hvilken behandling av personopplysninger det ønskes innsyn i. A har fått oversendt samtlige dokumenter i elevmappene, og dette oppfyller den registrertes rett til «innsyn i personopplysninger» i GDPR artikkel 15 nr. 1 og den behandlingsansvarliges plikt til å «gjøre tilgjengelig en kopi av personopplysningene» i nr. 3. I tillegg er det gitt informasjon om at de originale elevmappene er oversendt til barnas nye skole. Nemnda legger til grunn at dette er fullstendig informasjon om hvem opplysningene er utlevert til, jf. artikkel 15 nr. 1 bokstav c). Nemnda legger videre til grunn at det ikke finnes ytterligere opplysninger om familien ut over det som finnes i elevmappene. Når det gjelder de øvrige rettighetene til informasjon som følger av artikkel 15 nr. 1, bemerker nemnda at X skole isolert sett ikke har oppfylt disse. Dette gjelder for eksempel retten til informasjon om formålet med behandlingen (bokstav a), om kategorier av opplysninger (bokstav b) og om lagringstid (bokstav d). Ut fra den begrensede mengde informasjon det er tale om i denne saken, og at skolens behandling av personopplysninger i stor grad er lovregulert, finner Personvernnemnda etter omstendighetene, i likhet med Datatilsynet, at de registrertes personvern er ivaretatt på en tilfredsstillende måte, og at det ikke er grunn til å beslutte korrigerende tiltak etter GDPR artikkel 58 nr. 2.
Nemnda legger videre til grunn at i og med at de aktuelle barna ikke lenger er elever ved skolen, foretas ikke ytterligere behandling av disse personopplysningene utover til arkivformål. Nemnda har merket seg at kommunen/skolen har utvist velvillighet til å etterkomme ytterligere innsynsbegjæringer fra A dersom han presiserer hva det er han ønsker.
I likhet med Datatilsynet legger nemnda til grunn at Y kommune/X skole har tilfredsstillende rutiner for å oppfylle innsynsretten. Det vises i denne sammenheng til blant annet til «Håndbok, Arkiv og WebSak for skolene i Y kommune», der det blant annet framgår at:
«Både elever og foresatte har rett til innsyn i hva skolen har registrert om dem og hvordan personopplysningene er sikret. Krav om innsyn i en elevmappe behandles etter reglene om partsinnsyn forvaltningslovens § 18-20, og etter innsynsbestemmelsene i personopplysningslovens § 18.»
Nemnda er etter dette enig med Datatilsynet i at Y kommune/X skole har oppfylt sine plikter overfor A hva gjelder innsynsbegjæringen etter gjeldende personvernlovgivning.
Nemndas flertall (Mari Bø Haugstad, Bjørnar Borvik, Line Coll, Ellen Økland Blinkenberg og Maryeke Silalahi Nuth) mener videre at denne saken, slik den er presentert for nemnda, ikke foranlediger noen vurdering av informasjonssikkerheten knyttet til kommunens/skolens bruk av e-post. Slik nemndas flertall ser det har Datatilsynet oppfylt sin utredningsplikt og foretatt et forsvarlig skjønn når de har avsluttet saken uten å utferdige noe pålegg.
Nemndas mindretall (Gisle Hannemyr) mener at saken ikke er tilstrekkelig utredet når det gjelder hvordan den behandlingsansvarlige ivaretar informasjonssikkerheten i kommunikasjonen med familien og viser til at klager i et brev til Datatilsynet datert 6. desember 2017 omtaler dette.
Den behandlingsansvarliges ansvar for informasjonssikkerheten er definert i personopplysningsloven 2000 § 13 og i GDPR artikkel 24. Det tilligger Datatilsynets kompetanse å ta stilling til om egnede tekniske tiltak for å sikre at dette overholdes er etablert og blir fulgt.
Det framgår av den dokumentasjonen som personvernnemnda har fått oversendt at skolen har benyttet ukryptert e-post for oversendelse av en meddelelse der det framgår at familien har blitt meldt til barnevernet av en av skolens ansatte.
En opplysning om at en navngitt familie er meldt til barnevernet er utvilsomt en opplysning om noens «personlige forhold». Dette er derfor en taushetsbelagt opplysning etter forvaltningsloven § 13. Ukryptert e-post er ikke en sikker form for kommunikasjon, da den passerer en rekke potensielle avlyttingspunkter på sin vei fra avsender til mottager.
Mindretallet mener på denne bakgrunn at klagers bekymring om at den behandlingsansvarlige ikke ivaretar informasjonssikkerheten til familien på en tilfredsstillende måte er begrunnet. Ved å unnlate å adressere denne bekymringen mener mindretallet at Datatilsynet ikke har oppfylt sin utredningsplikt før saken ble avsluttet.
Mindretallet vil videre bemerke at den behandlingsansvarlige aldri besvarer klagers konkrete henvendelser om hvilke personopplysninger om ekteparet som behandles. Av GDPR artikkel 12 punkt 1 framgår det at all kommunikasjon vedrørende behandlingen skal skje på en «kortfattet, åpen og lett tilgjengelig måte». Selv om innsynsforespørselen skjedde før GDPR trådte i kraft, så burde informasjonen til den registrerte på dette punkt uansett vært klarere enn den var.
Til sist vil mindretallet bemerke at en innsynsbegjæring etter personopplysningsloven 2000 §18, slik loven er innrettet, ikke oppfylles gjennom å utlevere barnas elevmapper. I loven listes det opp kategoriene a-f, og det er dette den registrerte har rett til innsyn i. Behandlingsansvarlige har gitt svar på noen av disse, men ikke samtlige. Skolen er en offentlig institusjon, og det innsyn som er etterspurt vil etter alt å dømme kunne vært gitt i form av noen få setninger med henvisning til de relevante offentlige bestemmelser som regulerer behandlingen (for eksempel opplæringslova når det gjelder «formålet med behandlingen»). Det ville således vært lite ressurskrevende å oppfylle innsynsbegjæringen på den måten som loven anviser, og mindretallet mener at det er kritikkverdig at dette ikke ble gjort.
Nemndas vedtak er fattet i samsvar med flertallets syn (dissens 5-1).
A får ikke medhold i klagen.
Vedtak
Datatilsynets vedtak om å avslutte saken uten å gi pålegg opprettholdes.
Oslo, 17. september 2018
Mari Bø Haugstad
Leder