Personvernnemndas vedtak 17. desember 2019 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Hans Marius Graasvold, Heidi Talsethagen, Audhild Gregoriusdotter Rotevatn)
Saken gjelder klage fra A på Datatilsynets vedtak 24. september 2019 der tilsynet besluttet å avslutte saken uten å gjøre nærmere undersøkelser eller gi pålegg overfor universitetet X.
Sakens bakgrunn
Saken har sin bakgrunn i en tidligere sak fra 2016 hvor Datatilsynet ila X et overtredelsesgebyr på 75 000 kroner for ikke å ha etablert tilfredsstillende tiltak for å hindre spredning av konfidensielle personopplysninger. I Datatilsynets varsel om vedtak datert 4. mai 2016 er faktum i denne tidligere saken beskrevet slik:
«I oktober 2015 mottok Datatilsynet en henvendelse fra en student ved [X] Psykologisk institutt som informerte om informasjonssikkerhetsbrudd, samt mangelfull oppfølging av avvik knyttet til informasjonssikkerhet ved [X]. I følge henvendelsen hadde en ansatt ved Psykologisk institutt sendt en e-post med konfidensielle opplysninger om en enkeltstudent til flere ansatte og et helt kull ved profesjonsstudiet i psykologi. De konfidensielle opplysningene var knyttet til at det var reist tvil om studentens skikkethet til å utøve psykologyrket. I forbindelse med organisering av studentenes praksisarbeid ble det sendt ut informasjon på e-post om oppdeling av studentkullet i grupper. En ansatt ved Psykologisk institutt besvarte denne e-posten med informasjon om at en av studentene var gjenstand for behandling i Skikkethetsnemnda, og mente at dette tilsa at studenten ikke skulle ha praksis. Den ansatte hadde brukt «svar alle»-funksjonen med det resultat at informasjonen om studentens sak i Skikkethetsnemnda ble spredt til hele studentkullet.»
A var student på profesjonsstudiet i psykologi på X fra høsten 2011 og er den omtalte studenten som var gjenstand for behandling i Skikkethetsnemnda.
Datatilsynet varslet X om slikt pålegg:
1. X pålegges å utarbeide skriftlige rutiner for behandling av personopplysninger i forbindelse med skikkethetssaker, jf. personopplysningsloven § 46, 4. ledd, jf. § 14, jf. personopplysningsforskriften § 3-1.
2. X pålegges å iverksette tiltak for å sørge for at alle medarbeidere har nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt, jf. personopplysingsloven § 46, 4. ledd, jf. personopplysningsloven § 13, jf. personopplysningsforskriften § 2-8 andre ledd.
3. X pålegges å sørge for at kommunikasjon i forbindelse med skikkethetssaker foregår via kanaler med tilstrekkelig sikkerhet, jf. personopplysningsloven § 46, 4. ledd, jf. personopplysningsloven § 13, jf. personopplysningsforskriften §§ 2-1, 2-2, 2-11 og 2-14.
Tilsynet varslet også om ileggelse av 75 000 kroner i overtredelsesgebyr. Etter at X hadde gitt sin redegjørelse, la Datatilsynet til grunn at de varslede påleggene under punktene 1-3 var oppfylt og avviket ble ansett lukket av Datatilsynet. I vedtak 8. august 2016 ble X ilagt et overtredelsesgebyr på 75 000 kroner, som institusjonen aksepterte.
Den 28. mai 2018 sendte A en ny avviksmelding til Datatilsynet. Han viste til at X hadde utvekslet sensitive personopplysninger om ham til universitetet Y i forbindelse med at han hadde søkt seg overflyttet til Y, samt at X ikke hadde meldt dette avviket til tilsynet. A la frem utskrift av e-post som viste at en ansatt ved X i februar 2014 skrev om at det var opprettet skikkethetssak om han i en e-post til en ansatt på Y, og oppga det som grunn til at man ønsket å innhente opplysninger om vedkommende student.
Datatilsynet svarte A i brev 11. september 2018 og viste til at tilsynet, for melding om brudd på informasjonssikkerhet, forholder seg til meldinger som kommer fra de behandlingsansvarlige, ikke de registrerte.
I et nytt brev til Datatilsynet 11. mars 2019 anmodet A om at tilsynet gjenåpnet saken mot X. Han mente X bevisst hadde gitt uriktige opplysninger i sin redegjørelse til Datatilsynet, samt at den ilagte reaksjonen var for mild sett hen til universitetets lovovertredelse. Han opplyste samtidig at forholdet også var anmeldt til politiet.
Datatilsynet avviste saken i brev til A 3. mai 2019, og opplyste at tilsynets sanksjonsmyndighet er uttømmende listet i personopplysningsloven 2018 kapittel 7, og at Datatilsynet ikke har myndighet til å ilegge andre sanksjoner enn overtredelsesgebyr og tvangsmulkt.
A klaget over Datatilsynets avvisning av saken i brev 8. og 22. mai 2019. Han mente blant annet at tilsynet hadde lagt feil lov til grunn i sin avgjørelse.
A klaget til Sivilombudsmannen 29. mai 2019 på manglende svar fra Datatilsynet.
Datatilsynet ga A veiledning om lovvalget i brev 21. juni 2019. Det ble der presisert at tilsynet la personopplysningsloven 2018 til grunn i sin vurdering av saken, og at uttalelser i lovens forarbeider og praksis fra Personvernnemnda støttet en slik forståelse.
I nytt brev 27. juni 2019 etterlyste A tilsynets vurdering av det han mente var uriktige forklaring og straffbare handlinger fra Xs side. Han klaget også samme dag på Datatilsynets saksbehandler som han mente motarbeidet hans henvendelser. Han purret på tilsynet 11. juli 2019.
Datatilsynet svarte i brev 1. august 2019 på As henvendelser 11. mars, 18. mars, 8. mai, 15. mai, 22. mai, 29. mai og 27. juni 2019. Tilsynet opprettholdt sin avvisning av saken.
Etter at Datatilsynet ble kontaktet av Sivilombudsmannen, vurderte tilsynet saken på nytt, men fastholdt beslutningen om å avslutte saken. I vedtak 24. september 2019 ble det gitt en utdypende begrunnelse for avgjørelsen. Det ble samtidig opplyst om klageadgang.
A framsatte rettidig klage på Datatilsynets vedtak 3. oktober 2019. Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sitt vedtak. Saken ble oversendt til Personvernnemnda som mottok saken 16. oktober 2019. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer. X har ikke inngitt noen kommentarer. A har i brev 17., 22., og 29. oktober 2019, i brev 13. og 19. november 2019 og i e-poster 11. oktober 2019 og 7. november 2019 inngitt ytterligere merknader.
Saken ble behandlet i nemndas møte 17. desember 2019. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Gisle Hannemyr, Hans Marius Graasvold, Heidi Talsethagen og Audhild Gregoriusdotter Rotevatn. Nemndas sekretær, Anette Klem Funderud var også tilstede.
As syn på saken i korte trekk
X har i tillegg til det de er blitt sanksjonert for tidligere, behandlet personopplysninger i strid med personopplysningsloven som de ikke er blitt sanksjonert for. Datatilsynet har en plikt til å undersøke og sanksjonere X for disse bruddene på personopplysningsloven.
Overtredelsesgebyret tilsynet ga X er ikke en tilstrekkelig streng reaksjon i dette tilfelle der
X sendte sensitive opplysninger på e-post og brøt personopplysningsforskriften 2000 ved å motsette seg å overholde plikten til å inngi varsel om avvik til Datatilsynet. Dette forholdet er riktignok sanksjonert av Datatilsynet i vedtak 4. mai 2016, men X bør sanksjoneres strengere, herunder fengselsstraff, med tanke på lovovertredelsens alvorlighet.
X har i tillegg gitt opplysninger som er positivt uriktige til Datatilsynet. Han viser til sanksjonsreglene i personopplysningsloven 2000 og bestemmelsene i straffeloven 2005.
Dette er et forhold som ikke er undersøkt og ikke sanksjonert av Datatilsynet. Forholdet er heller ikke blitt meldt til Datatilsynet.
X har i epostkorrespondanse henvendt seg til Y for å be om konkrete opplysninger knyttet til at X på tidspunktet for korrespondansen hadde opprettet en sak om særskilt skikkethetsvurdering av han som student. X opplyste om dette og bakgrunnen for at X hadde opprettet en slik sak. I den sammenheng ba X om å få spesifikke opplysninger. Det er ingen tvil om at X ved å gjøre dette har brutt sin taushetsplikt. De har heller ikke overholdt sin informasjonsplikt overfor A etter personopplysningsloven §§ 19 og 20.
Problematikk knyttet til dobbeltstraff kan ikke stå i veien her, all den tid det er to ulike forhold.
Det er ingenting i veien for å forfølge den uriktige forklaringen, hvilket i seg selv er grunnlag for en straffesak ved anmeldelse som bør inngis fra Datatilsynet.
Datatilsynet har ikke opplyst saken slik tilsynet plikter etter forvaltningsloven § 17.
Det er ikke riktig at X har utarbeidet egne forskrifter etter at universitetet ble ilagt et overtredelsesgebyr i 2016, slik tilsynet legger til grunn.
Datatilsynets uttalelse om at det ikke skal være «hensiktsmessig» å starte en ny klageomgang, fremtrer her som vilkårlig og ubegrunnet.
Datatilsynets vurdering
Tilsynet har ikke funnet grunn til å gjøre nærmere undersøkelser i denne saken.
Tilsynet har ikke myndighet til å ilegge X fengsel, slik A mener er en passende sanksjon.
A mener at X i tillegg til det de er blitt sanksjonert for, har behandlet personopplysninger i strid med personopplysningsloven som de ikke er blitt sanksjonert for. Datatilsynet har ikke undersøkt dette nærmere.
Datatilsynets oppgaver er å behandle klager, og i den grad det er hensiktsmessig undersøke klagens gjenstand, jf. personvernforordningen artikkel 57 nr. 1 bokstav f. Datatilsynet har altså et mulighetsrom for å vurdere hensiktsmessigheten av en klagebehandling. Et viktig element i denne hensiktsmessighetsvurderingen er i hvilken grad de ulike mulighetene vi har for sanksjon kan bidra til etterlevelse av personvernforordningen.
Hvilke sanksjoner som er hensiktsmessige vil for eksempel være forskjellig ettersom behandlingen dreier seg om noe som har skjedd og som det er begrensede muligheter for å rette opp (avvik), eller om det er tale om å tvinge gjennom en rettighet for den registrerte (innsyn, sletting etc.).
As klage dreide seg om en urettmessig utlevering av personopplysninger. Dette var således noe som hadde skjedd, og som det ikke var mulig helt og fullt å reparere. Det var tilsynets vurdering den gang at fokus måtte bli å hindre at dette skulle skje igjen. På bakgrunn av As klage i 2015 ble X i 2016 pålagt å utarbeide skriftlige rutiner for behandling av personopplysninger i forbindelse med skikkethetssaker, iverksette tiltak for å sørge for at alle medarbeidere har nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt, og iverksette tiltak for at kommunikasjon i forbindelse med skikkethetssaker foregår via kanaler med tilstrekkelig sikkerhet. I tillegg ble X ilagt et overtredelsesgebyr på 75 000 kroner.
Saken skapte den gang oppmerksomhet omkring hvordan skikkethetssaker ble behandlet i utdanningsinstitusjonene, og det er i ettertid utarbeidet egne forskrifter for å sikre at dette skjer i forsvarlige former. Det er Datatilsynets vurdering at denne saken har hatt en oppdragende effekt på en hel sektor. Den har dessuten hatt en preventiv effekt ved at det er kommet på plass klare retningslinjer for lignende saker. Tilsynet mener dermed at det ikke er hensiktsmessig å gjøre nye undersøkelser med det formål å sanksjonere X ytterligere for forhold 4-5 år tilbake i tid.
Dessuten setter Den europeiske menneskerettighetskonvensjonen (EMK) og dennes tilleggsprotokoll nr. 7 artikkel 4 forbud mot gjentatt forfølgning og forbud mot «dobbeltstraff», noe som gjør at Datatilsynet ikke har adgang til å forfølge denne saken på nytt.
Personvernnemndas vurdering
Klagen gjelder Datatilsynets avgjørelse om å avslutte saken uten å foreta nærmere undersøkelser.
Personvernnemnda forstår det slik at A for det første mener at X er skyldig i ytterligere brudd på personopplysningsloven som ikke er omfattet av det overtredelsesgebyret som ble ilagt i 2016, nemlig utlevering av konfidensielle opplysninger til Y, jf. den fremlagte e-posten fra 2014. Han mener Datatilsynet ikke har utført sin plikt etter loven, når de ikke undersøker dette nærmere og ikke ilegger den behandlingsansvarlige overtredelsesgebyr for forholdet.
Nemnda viser til det faktum det er redegjort for ovenfor under «sakens bakgrunn», hvor det fremkommer at en ansatt ved X i februar 2014 skrev i en e-post til en ansatt ved Y at X hadde opprettet skikkethetssak mot A. Det er denne utleveringen av konfidensielle opplysninger som eventuelt medfører et brudd på personopplysningsloven som kan gi grunnlag for ileggelse av overtredelsesgebyr. Det følger imidlertid av personopplysningsloven 2018 § 28 at adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelsen er opphørt. I og med at utleveringen av opplysninger skjedde i februar 2014, er adgangen til å ilegge overtredelsesgebyr nå i desember 2019 uansett foreldet. Det var ingen tilsvarende foreldelsesregel i personopplysningsloven 2000, hvilket innebærer at 2018-loven fører til et gunstigere resultat for den behandlingsansvarlige, og dermed skal legges til grunn, jf. personopplysningsloven 2018 § 33.
Selv om adgangen til å ilegge overtredelsesgebyr er foreldet, er ikke loven til hinder for at Datatilsynet foretar undersøkelser og eventuelt konstaterer brudd, samt eventuelt gir pålegg for å sikre at fortsatt behandling av personopplysninger skjer i tråd med loven. I likhet med Datatilsynet legger nemnda til grunn at X har gjennomført tiltak som skal være med å sikre at tilsvarende konfidensialitetsbrudd ikke skjer igjen. Følgelig er Datatilsynets avslutning av saken uten ytterligere undersøkelser forsvarlig og i tråd med loven.
I tillegg mener A at den tidligere saken fra 2016 skulle vært gjenåpnet og underlagt en ny vurdering. Han begrunner dette med at redegjørelsen X den gangen ga til Datatilsynet var uriktig.
A er å anse som part i relasjon til Datatilsynets avgjørelse om at det representerte et brudd på personopplysningsloven når konfidensielle opplysninger om han ble utlevert til en rekke ansatte og studenter på X. Valget av reaksjon, herunder utmåling av overtredelsesgebyr, er imidlertid ikke en avgjørelse som «retter seg mot» A eller et forhold som direkte gjelder han. Selv om klagen over gebyrets størrelse hadde blitt fremsatt innenfor lovens klagefrist, ville A ikke vært klageberettiget når det gjelder den reaksjonen Datatilsynet valgte å ilegge X, og klagen ville blitt avvist. Det samme gjelder tilsynets vurdering av Xs redegjørelse om iverksatte tiltak som førte til at Datatilsynet lukket saken.
A får etter dette ikke medhold i sin klage.
Vedtaket er enstemmig.
Vedtak
Datatilsynets vedtak om å avslutte saken uten å undersøke nærmere eller gi ytterligere pålegg opprettholdes.
Oslo, 17. desember 2019
Mari Bø Haugstad
Leder