Personvernnemndas vedtak 21. januar 2020 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Hans Marius Graasvold, Heidi Talsethagen, Audhild Gregoriusdotter Rotevatn)
Saken gjelder klage fra A og B på Datatilsynets vedtak 11. februar 2019 der tilsynet konkluderte med at det ikke var foretatt ulovlig innsyn i As og Bs e-poster og at Bs Teamviewer-konto ikke var benyttet i strid med regelverket.
Sakens bakgrunn
A har vært ansatt og B har vært innleid konsulent i X AS. X AS og Y AS var, fram til en fisjon med påfølgende salg av Y AS, høsten 2017, begge i det vesentlige eid av Z Holding AS. X AS drev med konsulentvirksomhet innenfor informasjonsteknologi.
Både A og B ble utleid for å utføre et oppdrag for Y AS i Kongo. I den forbindelse ble det opprettet epostkasser til dem både hos X AS og Y AS.
De aktuelle e-postkassene i denne saken er:
A@X.com, B@X.com, A@Y.com og B@Y.com
Ved fisjonen av selskapet Y AS i september 2017, ble all virksomhet i Kongo lagt til X AS. A var eneste ansatte (daglig leder) i X AS og B var fast innleid konsulent.
I desember 2017 oppstod det uenighet mellom A/B og selskapets styre/aksjonærer. I forlengelsen av dette sa A opp stillingen sin i X AS 1. januar 2018 og B sa opp sitt engasjement i selskapet X AS 31. januar 2018. A meldte fratreden i Foretaksregisteret og var sykmeldt ut oppsigelsestiden.
Selskapet varslet om innsyn i As e-post. I møte mellom arbeidsgiver X AS v/tidligere styreleder C og arbeidstaker As advokat, 6. februar 2018 ble det gjennomført innsyn. A var sykmeldt på dette tidspunktet og deltok ikke, men B deltok.
Det ble også gjennomført et innsynsmøte 9. februar 2018 mellom oppdragsgiver X AS v/C og oppdragstaker B. X sin advokat deltok også. Det ble gjennomført innsyn i Bs e-postkonto «B@Y.com». Innsynsforretningen 9. februar 2018 var forutsatt fulgt opp med ytterligere innsynsforretning, men denne ble aldri gjennomført.
A og B kontaktet Datatilsynet 28. mars 2018 da de mente at det hadde blitt foretatt ulovlig innsyn i deres e-postkasser hos X AS, og at det var gjort datainnbrudd i deres e-postkasser hos Y AS.
Etter å ha innhentet partenes syn på saken la Datatilsynet til grunn at X AS var behandlingsansvarlig for alle de aktuelle e-postkontoene, da begge selskapene var del av samme konsern på det tidspunktet arbeidsforholdene ble avsluttet og den relevante delen av Y AS ble videreført i X AS. Datatilsynet konkluderte i vedtak 11. februar 2019 slik:
«Datatilsynet har, på bakgrunn av ovennevnte og slik saken er presentert, komme[t] til at det ikke er grunnlag for å si at det har vært gjennomført innsyn i strid med personopplysningsforskriften kap. 9.
Vi har heller ikke grunnlag for å si at teamviewer-kontoen har blitt benyttet i strid med regelverket, da det er uklart for hvilket formål og bruk den ble opprettet.
Når det gjelder ytterligere lagring av e-postkassene legger Datatilsynet til grunn at virksomheten ikke har direkte tilgang til e-postkassene lenger og at de vil bli slettet innen 6 måneder, noe som er i tråd med Datatilsynets praksis.
Saken avsluttes derfor med dette fra vår side.»
A og B klaget på Datatilsynets vedtak 4. mars 2019. Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sin avgjørelse, og oversendte saken til Personvernnemnda 13. november 2019. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer.
Nemnda har fått opplyst at det ble åpnet konkurs hos X AS 3. juni 2019. Bostyrer er informert om klagen, men har ikke inngitt merknader.
A og B har inngitt merknader 3. desember 2019 og 13. januar 2020, og har opprettholdt klagen til tross for selskapets konkurs.
Saken ble behandlet i nemndas møte 21. januar 2020. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Gisle Hannemyr, Hans Marius Graasvold, Heidi Talsethagen og Audhild Gregoriusdotter Rotevatn. Nemndas sekretær, Anette Klem Funderud var også tilstede.
A og Bs syn på saken i korte trekk
Det er foretatt ulovlig kontinuerlig innsyn fra 2. januar 2018 til 28. mars 2018 i deres e-postkasser.
Bakgrunnen for å be om innsyn i e-postkassene handlet ikke om å samle informasjon for å sikre videre drift av selskapet. X AS hadde ingen ansatte og videre drift var ikke realistisk. X AS ble drevet av ansatte fra Æ og Ø, som hadde eierinteresser i X AS (indirekte gjennom Z Holding AS). At innsynet i februar 2018 ikke var for å sikre selskapet videre drift understøttes av C's uttalelse til NRK 23. oktober 2019:
«Avviklingen startet allerede november 2017 da de ansatte sluttet og selskapet begynte avvikling av dets gjenstående kontrakter, skriver [C] i en e-post.»
Informasjonen som framkommer her var ukjent for A og B, som i november 2017 trodde driften av X AS skulle fortsette.
Innsynet ble utelukkende gjort for å jakte personlig informasjon i e-postene til A og B, for å bruke informasjonen på en slik måte at de ville fortsette arbeidet i selskapet. Dette var ikke mulig på grunn av uenighet om hvordan selskapet kunne drives videre.
For å sikre videre drift av store utfisjonerte prosjekter var eierne avhengig av ansatte med kompetanse. Da A, som eneste ansatt, og B sa opp arbeids- og oppdragsforholdet i X AS i januar 2018 ble eierne desperate og foretok også innsyn i deres e-postkasser i Y AS, som på innsynstidspunktet var eid av flere fylkeskommuner. Innsynet var utvilsomt drevet av egeninteressene til C, D, E og F som alle var aksjonærer i Z Holding AS. C og E misbrukte sine stillinger til å stjele persondata fra et offentlig eid selskap til X AS der de hadde eierinteresser.
C utførte innsyn på vegne av X AS i As og Bs e-poster i X AS og Y AS 6 og 12. februar 2018. C som på dette tidspunktet var daglig leder i Æ utførte innsynet på vegne av X AS, uten at det er framlagt noen fullmakter for Cs mandat og rolle i X AS.
Deres e-poster i Y AS tilhører på innsynstidspunktet Ø. Det er uforståelig at Datatilsynet avslutter saken med begrunnelsen at Y AS opphørte i fisjonen. Y AS er i dag Ø som eies av fylkeskommunene og driften er ikke opphørt.
As Teamviewer-konto har blitt brukt av G i Y AS, uten å opplyse om at brukeren ikke var A.
X er nå konkurs, men klagen på tilsynets vedtak opprettholdes fordi det ikke utelukkende er X som er part i saken. Y, som nå er Æ, med daglig leder C, er operativ.
C foretok innsyn i både Y AS og X AS sine e-postkasser på vegne av X AS (der han er aksjonær). Spørsmålet er hvordan kunne X AS få tilgang til Y AS sine e-postkasser når dette er uavhengige juridiske enheter, med ulike eiere. Gjennom innsynprosessen overførte C persondata fra Y AS til X AS, for å sikre egne interesser. Dermed er denne saken høyst relevant, selv om X AS er konkurs.
X AS' redegjørelse til Datatilsynet 4. juni 2018
A var ansatt da innsynet i hans e-postkasse ble gjennomført 6. februar 2018. X AS har ikke gjennomført ytterligere innsyn i etterkant.
B var innleid til X AS gjennom sitt selskap Å AS. Av praktiske årsaker ble ikke innsynsforretningen gjennomført før 9 dager etter at Å AS formelt hadde avsluttet sitt engasjement for X AS.
Innsynet i As e-postkasse ble hjemlet i personopplysningsforskriften § 9-2 bokstav a. Innsynet i Bs e-postkasse ble hjemlet i samme forskrift § 9-2 bokstav a og b. Prosedyrekravene ble fulgt.
For X AS stilte tidligere styreleder C under begge innsynene, i tråd med fullmakt gitt av styret i X AS.
Innsynene ble gjennomført i samsvar med personopplysningsforskriften kapittel 9. Innsynene, som ble varslet, ble begrunnet og det ble gitt informasjon om arbeidstaker/oppdragstakers rettigheter. Arbeidstaker/oppdragstaker fikk anledning til å uttale seg og fikk anledning til å være tilstede under innsynene. Det ble også gitt anledning til å stille med advokat eller annen rådgiver. Det ble ført protokoll fra innsynsforretningene 6. og 9 februar 2018. X AS eksporterte i forkant av innsynsforretningene PST-filene over på en minnepenn som ble oppbevart innelåst på Cs kontor i forseglet konvolutt.
E-post-kontoene er nå slettet. De forseglede konvoluttene med minnepinnene befinner seg i safe hjemme hos X AS sin styreleder, F.
X AS er ikke kjent med at e-post adressene til A og B skal ha blitt brukt i arbeid utført med tilknytning til virksomhet tilhørende Y AS eller har inneholdt dokumenter tilhørende Y AS.
A og Bs forsøk på å kjøpe X AS 22. desember 2017 ble oppfattet som utpressing. Det ble truet med at dersom tilbudet ikke ble akseptert ville A og B nedlegge arbeidet for X AS og overta kundene i eget selskap. Dette kunne ikke aksjonærene godta. A meldte fratreden i Foretaksregisteret og sykemeldte seg ut oppsigelsestiden.
X AS var avhengig av kunnskapsoverføring fra A og B for å bli i stand til å håndtere virksomhetens forpliktelser overfor kunder og samarbeidspartnere. Det vesentlige av skriftlig dokumentasjon befant seg i A og Bs e-postkasser. Gjentatte anmodninger om informasjonsutveksling ble ikke imøtekommet fra A og B sin side. Innsynsforretninger ble omsider gjennomført i henhold til personopplysningsforskriften kapittel 9.
Innsynsforretningen 9. februar 2018 avdekket at B og A, mens de var engasjert av X AS, aktivt hadde samarbeidet med sin rådgiver H og I om overtakelse av X AS sin virksomhet i nytt selskap.
X AS har brukt Teamviewer som arbeidsverktøy opp mot ansatte i datterselskap i Kongo. Forut for As avslutning av arbeidsforholdet benyttet tidvis A og/eller G den opprettede Teamviewer-kontoen ved behov. Etter at A sa opp og ble sykemeldt, og følgelig forut for utløpet av As oppsigelsestid, har G ved en anledning vært «synlig» via Teamviewer-kontoen, slik det er beskrevet i e-post fra G til X AS’ advokat 16. mai 2018. Dette viser at det var kjent at også G tidvis benyttet denne Teamviewer-kontoen.
Datatilsynets vurdering
Lovvalg
Ny personopplysningslov, som inkorporerer EUs personvernforordning, og forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale, trådte i kraft 20. juli 2018.
De mulige bruddene på regelverket skjedde før nytt regelverk trådte i kraft. Denne saken er derfor vurdert etter den gamle personopplysningsloven 14. april 2000 nr. 31 og forskrift 15. desember 2000 nr. 1265 om behandling av personopplysninger (personopplysningsforskriften). Den nye forskriften er i hovedsak en videreføring av reglene om innsyn i e-postkasse i den tidligere personopplysningsforskriften og vurderingen ville uansett blitt den samme om saken var blitt vurdert etter gjeldende regelverk.
Behandlingsansvarlig
X AS er behandlingsansvarlig for alle de aktuelle e-postkontoene, da begge selskapene inngikk i samme konsern på det tidspunktet arbeidsforholdene ble avsluttet og den relevante delen av Y AS ble videreført i X AS.
Slik Datatilsynet forstår selskapsstrukturen så ble Y AS oppløst og eiendeler og rettigheter overført X AS, noe som også framgår av klagen fra A og B 4. mars 2019.
Innsyn i e-postkasser
As og Bs e-poster i X AS og Y AS var ikke private. Reglene i personopplysningsforskriften av 2000 kapittel 9 gjelder for «e-postkasse arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet ved virksomheten», jf. § 9-1. Reglene i forskriften gjelder både overfor nåværende og tidligere arbeidstakere, samt andre som utfører, eller har utført, arbeid for arbeidsgiver, jf. § 9-1 fjerde ledd.
Det rettslige grunnlaget for innsynet i As e-postkasser er personopplysningsforskriften § 9-2 bokstav a.
Det følger av personopplysningsforskriften 2000 § 9-2 bokstav a at arbeidsgiver har rett til å gjennomsøke, åpne eller lese e-post i arbeidstakers e-postkasse «når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten».
Innsyn må altså være nødvendig utfra et spesifikt formål, som ikke kan nås ved mindre inngripende metoder.
I varsel om innsyn viste X AS til personopplysningsforskriften, og mente innsyn var nødvendig på grunn av risikoen for tap/oppsigelse av selskapets hovedkontrakter og den nært forestående konferanse/forpliktelser i Kongo, samt selskapets videre drift. Det ble videre orientert om anledning til å uttale seg og være tilstede under tilsynet, jf. personopplysningsforskriften 2000 § 9-3.
Innsynsforretning vedrørende As e-postkasser ble gjennomført etter at gjentatte anmodninger om informasjonsutveksling ikke ble imøtekommet. Tidligere styreleder C var tilstede for arbeidsgiver etter fullmakt fra styret i X AS, og A var representert ved B og med sin advokat.
Det rettslige grunnlaget for innsynet i Bs e-postkasser er personopplysningsforskriften § 9-2 bokstav a og b.
B ble varslet om innsyn. Varselet inneholdt en henvisning til forskriften og en påpekning om at innsynet var nødvendig på grunn av risikoen for tap/oppsigelse av selskapets hovedkontrakter og den nært forestående konferanse/forpliktelser i Kongo, samt selskapets videre drift. Det ble videre orientert om anledning til å uttale seg og være tilstede under tilsynet.
Det ble gjennomført et innsynsmøte og ført protokoll for møtet som Datatilsynet anser som fyldestgjørende. C representerte X AS, i tråd med fullmakt gitt av styret i selskapet. B var tilstede med sin advokat.
Innsynene ble gjennomført i tråd med de materielle og prosessuelle reglene i personopplysningsforskriften §§ 9-2 og 9-3. Både A og B ble varslet, gitt informasjon om sine rettigheter, og gitt anledning til å uttale seg. B deltok på innsynsmøtet sammen med sin advokat, mens A deltok på møte ved representant.
Datatilsynet ser ikke grunn til å betvile at innsynene i As og Bs e-postkasser var nødvendig da A og B var de eneste som jobbet med de aktuelle prosjektene og dokumentasjonen i hovedsak befant seg i e-postkassene. Virksomhetens vurderinger framstår som forsvarlige. Datatilsynet kan ikke se at det er grunnlag for å si at det foreligger brudd på reglene.
Når det gjelder ytterligere lagring av e-postkassene legger Datatilsynet til grunn at virksomheten ikke har direkte tilgang til e-postkassene lenger og at de vil bli slettet innen seks måneder, noe som er i tråd med Datatilsynets praksis.
Det er etter dette ikke grunnlag for å fastslå at X AS har foretatt ulovlig innsyn i As og Bs e-poster.
As Teamviewer
Det er anført at As Teamviewer har blitt brukt av en ansatt i Y AS, uten å opplyse om at brukeren ikke var A. Tilsynet legger til grunn at Teamviewer-kontoen ble benyttet av både A og G, forut for oppsigelsen fra A. G har ved én anledning vært synlig via kontoen etter at A sluttet.
Datatilsynet har ikke grunnlag for å si at Teamviewer-kontoen har blitt benyttet i strid med regelverket, da det er uklart for hvilket formål og bruk den ble opprettet.
Personvernnemndas vurdering
Spørsmålet for nemnda er om det er foretatt ulovlig innsyn i A og Bs e-postkontoer:
A@X.com, B@X.com, A@Y.com og B@Y.com
Det er også et spørsmål om X AS har brutt personopplysningsloven ved at As Teamviewer-konto er benyttet av andre, etter at han sluttet i selskapet.
Etter at Datatilsynet traff sitt vedtak og etter at vedtaket ble påklaget, er det åpnet konkurs hos X AS 3. juni 2019. A og B har likevel opprettholdt sin klage og ønsker Personvernnemndas avgjørelse på hvorvidt det er foretatt innsyn i e-post i strid med personopplysningsloven.
Nemnda legger til grunn at A og B, som parter i saken, har en rettslig klageinteresse i å få klagen sin vurdert av nemnda, jf. forvaltningsloven § 28, selv om det selskapet som det anføres har behandlet personopplysningene om dem ulovlig, er konkurs. Selskapet har uttalt seg i saken da Datatilsynet hadde den til behandling og nemnda anser saken tilstrekkelig opplyst og anser det forsvarlig å behandle den med de opplysninger som foreligger.
Nemnda vil først si noe om hvilken lov som kommer til anvendelse i saken.
Ny lov om behandling av personopplysninger (personopplysningloven 2018) trådte i kraft 20. juli 2018. Fra samme tidspunkt ble personopplysningsloven 2000 opphevet, som var gjeldende rett på handlingstidspunktet.
Etter personopplysningsloven 2018 § 33 skal reglene om behandling av personopplysninger som gjaldt på handlingstidspunktet legges til grunn når det treffes vedtak om overtredelsesgebyr, med mindre lovgivningen på tidspunktet for avgjørelsen fører til et gunstigere resultat for den behandlingsansvarlige. Uavhengig av om det er aktuelt å ilegge overtredelsesgebyr eller ikke, legger nemnda til grunn at den samme regelen må gjelde når man skal vurdere om en tidligere behandling av personopplysninger, som ble foretatt mens gammel lov var gjeldende, var lovlig eller ikke.
Nemnda legger derfor personopplysningsloven 2000 til grunn for sin vurdering av denne saken. Personopplysningsloven 2018 gir ikke noe gunstigere resultat for arbeidsgiver. Nemnda er enig med Datatilsynet i at reglene om arbeidsgivers innsyn i arbeidstakers e-post i hovedsak er videreført dagens lov og forskrift, slik at resultatet ville blitt det samme også etter ny lov.
A og B har i sin klage til Personvernnemnda reist fire problemstillinger:
For det første om X AS hadde rettslig adgang til å foreta innsyn i disse e-postkassene:
A@Y.com og B@Y.com, all den tid Y AS var en annen juridisk enhet enn X AS og ikke en del av selskapet X AS.
For det andre om X AS hadde rettslig adgang til å foreta innsyn i e-postkassene med den begrunnelsen de ga («nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten»), når det allerede var besluttet at selskapet skulle avvikles.
For det tredje hvorvidt C, som på dette tidspunktet var daglig leder i Æ (tidligere Y AS), hadde fullmakt til å foreta innsyn i e-postkassene på vegne av X AS.
Den fjerde og siste problemstillingen er om X AS har brukt As Teamviewer-konto uten å ha rettslig adgang til det etter at A sluttet i selskapet.
A og B har også anført at det ble foretatt kontinuerlig innsyn i deres e-postkasser i hele perioden fra 2. januar 2018 til 28. mars 2018, og ikke bare under de fastsatte tidspunktene for gjennomgang av e-post henholdsvis 6. februar og 9. februar 2018. Det foreligger ingen dokumentasjon for dette og klagerne har anført at det skyldes at sporingsfunksjonen i Office 365 er slått av. I og med at det ikke er lagt fram dokumentasjon for dette spørsmålet, har nemnda ikke funnet det hensiktsmessig å gå nærmere inn på dette. Forholdet har heller ikke vært vurdert av Datatilsynet.
Arbeidsgivers adgang til innsyn i e-postkasse mv er nærmere regulert i personopplysningsforskriften 2000 kapittel 9. Reglene gjelder for «e-postkasse arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet ved virksomheten», jf. § 9-1. Reglene gjelder både for nåværende og tidligere arbeidstakere, samt andre som utfører, eller har utført, arbeid for arbeidsgiver, jf. § 9-1 fjerde ledd. Nemnda legger, som Datatilsynet, til grunn at forskriften gir X AS på visse vilkår, rett til innsyn både i As og Bs e-postkasse(r). A var ansatt i selskapet, mens B var oppdragstaker og utførte arbeid for X AS.
Hadde X AS rettslig adgang til å foreta innsyn i e-postkassene knyttet til domenet «Y.com»?
Nemnda legger til grunn at A og B gjennom X var utleid for å utføre et oppdrag for Y i Kongo. Dette er bakgrunnen for at A og B har to e-postkontoer (...@X.com og ...@Y.com). X AS og Y AS var på dette tidspunktet også del av samme konsern, Z Holding. Høsten 2017 ble det foretatt en fisjon i selskapet Y AS og den delen av virksomheten som A og B drev med i Kongo ble overført til X AS. Den øvrige virksomheten ble solgt til W (eid av fem fylkeskommuner) og drevet videre i bompengeselskapet Æ. A og B har etter dette tidspunktet ikke utført noe oppdrag for Y AS, W eller Æ. Deres arbeid har utelukkende vært en del av den virksomheten X AS drev.
Slik nemnda ser det er rettigheten til innhold i e-postkonto knyttet til domenenavnet «Y.com» dermed overført til X AS. Både dette, og det forhold at selskapet var arbeidsgiver/oppdragsgiver for A og B, innebærer at selskapet hadde rett til å foreta innsyn i tilknyttede e-postkontoer, i tråd med reglene i personopplysningsforskriften 2000 kapittel 9.
Nemnda kan ikke se at det har noen betydning for X AS’ rett til innsyn i e-post hva A og B visste om disse overdragelsene. Den eneste arbeidsgiver/oppdragsgiver A og B hadde var X AS og det var dette selskapet de utførte arbeid for.
Var innsyn nødvendig for å ivareta den daglige driften eller ivareta andre berettigede interesser ved virksomheten?
Det følger av personopplysningsforskriften 2000 § 9-2 bokstav a at arbeidsgiver har rett til å gjennomsøke, åpne eller lese e-post i arbeidstakers e-postkasse «når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten». Datatilsynet har lagt til grunn at det følger av dette at innsyn må være nødvendig utfra et spesifikt formål, som ikke kan nås ved mindre inngripende metoder. Nemnda er enig i den tolkningen.
I det varselet både A og B fikk ble behovet for innsyn begrunnet med at det var nødvendig på grunn av risikoen for tap/oppsigelse av selskapets hovedkontrakter og den nært forestående konferanse/forpliktelser i Kongo, samt selskapets videre drift. Det ble videre orientert om anledning til å uttale seg og være tilstede under tilsynet, jf. personopplysningsforskriften 2000 § 9-3. Innsynsforretningen ble gjennomført etter gjentatte anmodninger om informasjonsutveksling som ikke var imøtekommet.
Nemnda er enig med Datatilsynet i at innsynene i As og Bs e-postkasser er tilstrekkelig begrunnet og må anses nødvendig i og med at A og B var de eneste som jobbet med de aktuelle prosjektene og dokumentasjonen i hovedsak befant seg i deres e-postkasser. At selskapet var planlagt avviklet medfører etter nemndas vurdering ikke at behovet for innsyn i e-post blir unødvendig. Det kan være nødvendig av hensyn til den daglige driften (fram til en eventuell avvikling). Det kan også være nødvendig for å ivareta andre berettigede interesser ved virksomheten.
Det er opplyst fra X AS at A og B i desember 2017 framsatte et tilbud om å kjøpe selskapet. Tilbudet ble av styret og aksjonærene oppfattet som et forsøk på utpressing ved at A og B truet med at dersom tilbudet ikke ble akseptert ville A og B nedlegge arbeidet for X AS og overta kundene i eget selskap. Når A og B deretter i januar 2018 avsluttet sitt arbeids- og oppdragsforhold til virksomheten, hadde X AS berettiget interesse i å få innsyn i virksomhetsrelatert e-post.
Nemnda er enig med Datatilsynet i at virksomhetens vurderinger framstår som forsvarlige og at det ikke er grunnlag for å konstatere brudd på reglene.
Innsynene ble gjennomført i tråd med de materielle og prosessuelle reglene i personopplysningsforskriften §§ 9-2 og 9-3. Både A og B ble varslet, gitt informasjon om sine rettigheter, og gitt anledning til å uttale seg. De ble også gitt anledning til å være til stede under innsynsforretningen.
Hadde C fullmakt til å foreta innsyn i e-postkassene på vegne av X AS?
Det var C som var til stede på vegne av X AS under innsynsforretningene i e-postkontoene til A og B. C hadde tidligere vært styreleder i selskapet, men hadde, slik nemnda forstår det, ingen formell rolle i selskapet da innsynet ble gjennomført. Han var imidlertid en av aksjonærene i selskapet og var dessuten daglig leder i bompengeselskapet Æ som overtok den delen av virksomheten i Y AS som ikke ble overført til X AS.
Klagerne stiller spørsmål ved Cs tilstedeværelse og har etterspurt kopi av fullmakt som viser at han var berettiget til å opptre på vegne av selskapet.
Det er fra X AS’ prosessfullmektig opplyst at C var tilstede under innsynsforretningene etter fullmakt fra styret. Styret må kunne velge selv hvem de ønsker skal være til stede og representere arbeidsgiver/oppdragsgiver i en slik situasjon. Det er ikke noe krav om skriftlig fullmakt idet hans oppdrag godt kan være avtalt muntlig.
Nemnda legger etter dette til grunn at C hadde fullmakt til å opptre på vegne av X AS under innsynsforretningene.
Er det sannsynliggjort urettmessig bruk av As Teamviewer-konto?
Datatilsynet har lagt til grunn at Teamviewer-kontoen ble brukt både av A og G før A sa opp sin stilling i X AS og at Gs bruk av denne kontoen ved én anledning etter at A sluttet derfor ikke nødvendigvis er annerledes enn hvordan det var tidligere. Nemnda deler Datatilsynets vurdering om at det ikke er grunnlag for å si at Teamviewer-kontoen er benyttet i strid med regelverket, da det er uklart hva som var kontoens formål og hva som var avtalt vedrørende bruken av denne. Det er heller ikke dokumentert at kontoen ble benyttet til å behandle personopplysninger.
A og B får etter dette ikke medhold i sin klage.
Vedtaket er enstemmig.
Vedtak
Datatilsynets vedtak om at det ikke har skjedd brudd på personopplysningsloven opprettholdes.
Oslo, 21. januar 2020
Mari Bø Haugstad
Leder