Personvernnemndas vedtak 22. juni 2021 (Mari Bø Haugstad, Bjørnar Borvik, Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin)
Saken gjelder klage over Datatilsynets utmåling av overtredelsesgebyr på 400 000 kroner for å ha overvåket arbeidstakers e-postkasse uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav f, for manglende vurdering av protester, jf. artikkel 21, og for manglende informasjon, jf. artikkel 13.
Sakens bakgrunn
Datatilsynet mottok 22. mars 2019 en klage fra A på ulovlig innsyn og videresending av e-post hos hennes arbeidsgiver, X AS.
Datatilsynet ba om arbeidsgivers redegjørelse, som ble gitt i brev 24. mai 2019. Arbeidsgiver redegjorde for sin videresending av e-poster fra As e-postkasse og anførte at innsynet var berettiget etter e-postforskriften § 2 første ledd bokstav a. Arbeidsgiver erkjente at saksbehandlingen ikke hadde vært i tråd med e-postforskriften § 3.
Datatilsynet varslet arbeidsgiver 21. september 2020 om at tilsynet ville treffe slikt vedtak:
«1. Med hjemmel i personvernforordningen artikkel 58 nr. 2 bokstav i pålegges [X AS], org.nr. […], å betale et overtredelsesgebyr til statskassen på 400 000 kroner for å ha overvåket klagers e-postkasse uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav f, for manglende vurdering av protester, jf. artikkel 21, og for manglende informasjon, jf. artikkel 13.
2. Med hjemmel i personvernforordningen artikkel 58 nr. 2 bokstav d pålegges [X AS] å utbedre sin internkontroll og sine skriftlige rutiner for innsyn i ansattes e-postkasse, jf. personvernforordningen artikkel 24, da denne er mangelfull.»
Arbeidsgiver ga sine merknader til varselet 23. oktober 2020. Arbeidsgiver erkjente at videresendingen av e-poster i perioden 18. februar til 25. mars 2019 var i strid med e-postforskriften § 2, og at virksomheten manglet behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav f. Arbeidsgiver erkjente også manglende overholdelse av informasjonsplikten, jf. forordningen artikkel 13, jf. e-postforskriften § 3. Arbeidsgiver anførte at overtredelsen ikke ga grunnlag for å ilegge overtredelsesgebyr, og under enhver omstendighet ikke et gebyr i den størrelsesorden.
Datatilsynet traff 7. desember 2020 vedtak om pålegg og overtredelsesgebyr i tråd med utsendt varsel.
Etter utsatt klagefrist, klaget arbeidsgiver rettidig på Datatilsynets vedtak den 21. januar 2021. Klagen gjelder kun overtredelsesgebyrets størrelse (vedtakets punkt 1).
Datatilsynet bekreftet i e-post til arbeidsgiver 15. februar 2021 at vedtakets punkt 2 anses oppfylt.
Datatilsynet opprettholdt sin vurdering av overtredelsesgebyrets størrelse og oversendte saken til Personvernnemnda 19. mars 2021. Arbeidsgiver ble orientert om saken i brev fra nemnda 23. mars 2021, og fikk anledning til å komme med kommentarer. Det er ikke inngitt ytterligere kommentarer.
Saken ble behandlet i nemndas møter 18. mai og 22. juni 2021. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem og Morten Goodwin. Sekretariatsleder Anette Klem Funderud var også til stede.
Faktum
A ble sykmeldt fra sin selgerstilling i X AS 18. februar 2019. På tidspunktet hun ble sykmeldt var hun i en konflikt med sin leder, avdelingsleder B. A orienterte vedkommende leder om sykefraværet på SMS samme dag og informerte at hun hadde aktivert fraværsmelding. Avdelingslederen mottok ingen fraværsmelding da hun kort tid etter testet e-postadressen. Hun besluttet deretter samme dag å lukke As eksterne tilgang til arbeidsgivers server, samt iverksatte videresending av alle innkommende e-poster fra As e-postkasse til avdelingsleders e-postkasse. A ble ikke varslet. Utelukkelsen og videresendelsen varte i perioden fra 18. februar til 25. mars 2019. Avdelingslederen som mottok alle As e-poster plukket ut selskapsrelaterte e-poster og videresendte private e-poster til As private e-postadresse. I den aktuelle perioden videresendte avdelingslederen 26 private e-poster fra As e-postkasse i selskapet til As private e-postadresse.
I e-post til avdelingslederen 26. februar 2019 ba A om at sperringen av hennes bruker på jobbserver og viderekobling av hennes e-post hos arbeidsgiver opphørte. Arbeidsgiver svarte 27. februar 2019 at videresendingen av innkomne e-poster var nødvendig for virksomheten og dermed lovlig, og at innkomne private e-poster ikke ville bli lest, men lagt i en egen mappe.
Fra 25. mars 2019 opphørte den automatiske videresendelsen av e-poster og arbeidsgiver la inn fraværsassistent med beskjed om å sende mail til en annen e-postadresse.
Datatilsynets vedtak i korte trekk
Datatilsynet konkluderer i sitt vedtak med at arbeidsgivers automatiske videresendelse av innholdet i arbeidstakers e-postkasse manglet behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav f. Tilsynet konkluderer videre med at arbeidsgiver ikke har overholdt sin plikt til å foreta en konkret interesseavveining etter at arbeidstakeren den 26. februar 2019 protesterte mot behandlingen, jf. artikkel 21. Endelig konkluderer tilsynet med at arbeidsgiver heller ikke har overholdt sin plikt til å informere arbeidstakeren om at videresendingen av e-poster startet, jf. artikkel 13.
I tillegg til å ilegge et overtredelsesgebyr for disse forholdene pålegger Datatilsynet arbeidsgiver å utbedre sine rutiner for innsyn i arbeidstakernes e-postkasse.
Om ileggelsen og utmålingen av gebyrets størrelse, som er det som er til behandling for nemnda, tar Datatilsynet utgangspunkt i de ulike momentene i personvernforordningen artikkel 83 nr. 2 bokstavene a til k.
Datatilsynet viser til at arbeidsgiver har brutt fire bestemmelser i personvernforordningen. Det forelå ikke behandlingsgrunnlag i artikkel 6 for overvåkingen av arbeidstakers e-postkasse og videresendingen av e-postkassen pågikk i fem uker (lovlighetsprinsippet). Arbeidsgiver manglet tekniske og organisatoriske tiltak for etterlevelse av personvernregelverket (ansvarlighetsprinsippet, artikkel 24), oppfylte ikke plikten til å gi arbeidstakeren informasjon (artikkel 13) og vurderte heller ikke den ansattes protest mot behandlingen (artikkel 21).
Sakene fra Personvernnemnda som selskapet viser til er behandlet etter personopplysningsloven 2000, og er ikke styrende for Datatilsynets vurdering av gebyrets størrelse etter personvernforordningen artikkel 83.
Datatilsynet viser til at overtredelsene fant sted ca. sju måneder etter at personopplysningsloven trådte i kraft 20. juli 2018 og personvernforordningen ble gjennomført i norsk rett. Ettersom forordningen ble vedtatt allerede i 2016 hadde de behandlingsansvarlige mulighet og tid til å innrette seg etter de nye reglene. Det følger dessuten av langvarig praksis fra både Datatilsynet og Personvernnemnda at automatisk videresending av ansattes e-postkasse er ulovlig, se blant annet PVN-2015-14, PVN-2016-09, og PVN-2018-16.
Datatilsynet kommer, etter en gjennomgang av de ulike momentene, til at X AS skal ilegges overtredelsesgebyr på 400 000 kroner. Gebyret utgjør ca. 0,2 % av selskapets omsetning i 2019. Det er i det nederste sjiktet av hva forordningen foreskriver for de aktuelle bruddene.
Tilsynet anser etter en skjønnsmessig vurdering at et gebyr på denne størrelsen vil være tilstrekkelig virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende, jf. personvernforordningen artikkel 83 nr. 1.
I utmålingen legger tilsynet vekt på at overtredelsene i saken innebærer kontinuerlig overvåking av innkommende e-post til en arbeidstakers e-postkasse, og at dette er et alvorlig inngrep i arbeidstakers personvern og hennes rett til å korrespondere fritt. Overtredelsene er også en krenkelse av personvernet til tredjeparter som i god tro har sendt e-post til arbeidstakeren.
I utmålingen legger tilsynet videre vekt på virksomhetens økonomi, og i skjerpende retning at korrespondanse til en persons e-postadresse er i kjernen av retten til privatliv ettersom e-post kan inneholde beskyttelsesverdige opplysninger, og at det var daglig leder som igangsatte den ulovlige videresendingen. Personvernforordningen artikkel 5 nr. 2 forutsetter en sterk forankring hos den behandlingsansvarliges ledelse. Til tross for løfter om å ikke lese private e-poster åpnet avdelingsleder privat e-post, og tok bilde som hun sendte til As mobiltelefon.
Arbeidsgivers (X AS') syn på gebyrets størrelse i korte trekk
Selskapet aksepterer at videresendingen fra arbeidstakers e-postkasse er i strid med e-postforskriften § 2. Selskapet har kun påklaget den delen av Datatilsynets vedtak som gjelder overtredelsesgebyrets størrelse som er satt vesentlig for høyt.
Datatilsynet har feilaktig og konsekvent lagt til grunn at innsynet i e-posten ble foretatt av selskapets daglige leder. Det er ikke korrekt. Innsynet ble foretatt av avdelingsleder (Profit Center Manager) ved selskapets avdeling i Y.
Selv om overtredelsesgebyret er ilagt uavhengig av subjektiv skyld, må det i utmålingen av gebyrets størrelse hensyntas at videresending ble igangsatt av en medarbeider i stilling underordnet daglig leder i selskapet.
Av tidligere relevant praksis fra Personvernnemnda er overtredelsesgebyr i tilsvarende saker stort sett 75 000 kroner, jf. PVN-2015-14, PVN -2016-9, PVN-2016-09 og PVN-2018-16.
Selv om personvernforordningen legger til rette for å ilegge et høyere gebyr-nivå enn det som følger av praksis etter personvernopplysningsloven fra 2000, er det etter selskapets vurdering urimelig og klart i strid med tidligere praksis når Datatilsynet øker gebyret i nærværende sak med 533% i forhold til ovennevnte praksis, fra 75 000 kroner til 400 000 kroner.
I utmålingen av gebyret må det også hensyntas at det dreier seg om et enkeltstående brudd, jf. artikkel 83, nr. 2 bokstav e, at selskapet fullt ut har samarbeidet med Datatilsynet for å bøte på overtredelsen (bokstav f) og at sensitive personopplysninger ikke ble berørt (bokstav g).
Det enkeltstående bruddet ligger mer enn 1 ½ år tilbake i tid, kort tid etter at EUs komplekse personvernforordring ble implementert som norsk rett.
Det må også tas hensyn til arbeidstakers manglende medvirkning til å få aktivert fraværsassistent. Hadde arbeidstaker medvirket til dette ville man ha unngått, eller i stor grad ha forkortet perioden for overvåking av arbeidstakers e-postkasse.
Graden av skyld på arbeidsgivers hånd tilsier at et eventuelt gebyr uansett må settes vesentlig lavere enn 400 000 kroner.
Personvernnemndas vurdering
Ved behandling av personopplysninger uten behandlingsgrunnlag, samt ved overtredelse av bestemmelsene i personvernforordningen artikkel 13 og artikkel 21, som denne saken gjelder, kan tilsynsmyndigheten etter artikkel 83 nr. 5 jf. nr. 2 ilegge den behandlingsansvarlige et overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløp anvendes. Det følger av artikkel 83 nr. 1 at tilsynsmyndigheten ved sin vurdering skal sikre at ileggelse av overtredelsesgebyr er virkningsfullt, står i et rimelig forhold til overtredelsen og virker avskrekkende.
Både ved vurderingen av om det skal ilegges gebyr og ved utmålingen av gebyret, skal det i hvert enkelt tilfelle tas hensyn til momentene i personvernforordningen artikkel 83 nr. 2 bokstavene a til k.
Etter bokstav a skal det blant annet legges vekt på karakteren, alvorlighetsgraden og varigheten av overtredelsen. I dette tilfellet bestod overtredelsen av ulovlig innsyn ved automatisk videresendelse av e-post over en periode på fem uker, samtidig som arbeidstakeren selv ble lukket ute fra serveren og ikke selv fikk tilgang til egen e-postkasse. Det er redegjort for at arbeidstaker benyttet e-postadressen også til private formål og at arbeidsgiver videresendte til sammen 26 private e-poster i den aktuelle perioden.
Nemnda legger til grunn at mange av de private e-postene var e-poster fra skolen til arbeidstakers barn, men at de ikke omhandlet opplysninger av særlige kategorier, jf. artikkel 9. Fraværet av slike opplysninger er likevel ikke avgjørende, idet arbeidsgiver på forhånd ikke kunne vite om e-postene inneholdt opplysninger av særlig kategori. Nemnda legger til grunn at arbeidsgiver, i alle fall i noen tilfeller, også leste innholdet i de private e-postene. Dette bekreftes av dokumenter i saken som viser at arbeidsgiver tok bilde av teksten i en privat e-post og videresendte som SMS til arbeidstakeren. Det tillegges vekt i skjerpende retning at ordningen fortsatte selv om arbeidsgiver var klar over at arbeidstakeren benyttet e-postadressen også til private formål. Det samme gjelder det forhold at ordningen fortsatte etter at arbeidstakeren protesterte på behandlingen, uten at det framkommer noe sted hvilken vurdering og avveining av hensyn som er gjort av arbeidsgiver i den forbindelse, jf. artikkel 21.
Utelukkelsen av arbeidstaker fra tilgang til e-postkassen og videresending av all e-post som kom til henne ble iverksatt samme dag som hun ga beskjed om at hun var syk. Arbeidstakeren ble ikke varslet og fikk ikke anledning til å uttale seg. Det er ikke redegjort for forhold som tilsier at det var nødvendig for arbeidsgiver med innsyn umiddelbart. Arbeidsgivers fremgangsmåte er i strid med loven, jf. arbeidsmiljøloven § 9-5 og forskrift om arbeidsgivers innsyn i e-post § 3. Den kritikkverdige framgangsmåten tillegges vekt i skjerpende retning ved utmåling av gebyrets størrelse.
Det forhold at arbeidstakeren var i en konflikt med sin leder da hun ble sykmeldt, medfører at arbeidsgivers fremgangsmåte blir ekstra kritikkverdig. Det er ikke redegjort for forhold som tilser at det var mistanke om grove brudd på arbeidstakers plikter. Nemnda kan heller ikke se at det er grunnlag for å kritisere arbeidstakeren for ikke å ha medvirket i tilstrekkelig grad, jf. beskrivelsen av at utelukkelsen og videresendelsen skjedde nesten umiddelbart etter at arbeidstakeren meldte seg syk, uten at hun ble forsøkt involvert.
Samlet sett legger nemnda til grunn at det dreier seg om en grov overtredelse av reglene.
Det er ingen tvil om at arbeidsgiver i dette tilfellet har handlet forsettlig. Arbeidsgiver plikter å sette seg inn i de reglene som gjelder på området og eventuell uvitenhet om reglene er bare unnskyldelig dersom den er aktsom, jf. prinsippet i straffeloven § 26. I dette tilfellet foreligger det ingen aktsom rettsvillfarelse. Det gjelder uavhengig av om innsynet er foretatt av en daglig leder eller en avdelingsleder.
Nemnda er etter dette enig med Datatilsynet i at det skal ilegges et overtredelsesgebyr, og at et gebyr i størrelsesorden 400 000 kroner i foreliggende sak i alle fall ikke er for strengt.
Nemnda har lagt vekt på at personvernforordningen legger opp til et høyere gebyrnivå enn det som gjaldt etter personopplysningsloven fra 2000. Tidligere praksis vedørende gebyrets nivå har derfor begrenset vekt.
Overtredelsene fant sted ca. sju måneder etter at personopplysningsloven 2018 trådte i kraft og personvernforordningen ble gjennomført i norsk rett. Nemnda er enig med Datatilsynet i at behandlingsansvarlig har hatt tilstrekkelig tid til å innrette seg etter de nye reglene.
De siste tilgjengelige regnskapstallene på www.proff.no viser at X AS i 2019 hadde en omsetning på ca. 168 000 000 kroner. Gebyret på 400 000 kroner utgjør bare i overkant av 0,2% av selskapets omsetning i 2019. Nemnda er enig med Datatilsynet i at det er i det nederste sjiktet av hva personvernforordningen foreskriver for brudd på artiklene 5, 6, 13 og 21.
Nemnda har likevel kommet til at gebyret må reduseres på grunn av tilsynets lange saksbehandlingstid.
Det er et alminnelig og grunnleggende prinsipp, både strafferettslig og forvaltningsrettslig, at saker skal avgjøres innen rimelig tid. Dette prinsippet kommer til uttrykk i Den europeiske menneskerettskonvensjonen (EMK) artikkel 6 nr. 1, som direkte gjelder straffesanksjoner, men som ifølge praksis fra Den europeiske menneskerettsdomstolen (EMD) også gjelder for administrative sanksjoner som kan likestilles med straff. Det følger videre av straffeloven § 78 bokstav e at det ved straffutmålingen i formildende retning «skal tas i betraktning» at «det har gått lang tid siden lovbruddet, eller saksbehandlingen har tatt lengre tid enn rimelig ut fra lovbruddets art, uten at lovbryteren kan lastes for dette». Og forvaltningsloven § 11 a første ledd pålegger forvaltningsorganet en plikt til å «forberede og avgjøre saken uten ugrunnet opphold». Også denne bestemmelsen gir uttrykk for at saker skal avgjøres innen rimelig tid.
Personvernforordningen artikkel 83 nr. 2 bokstav a til k gir anvisning på en hel rekke momenter som skal inngå i vurderingen av om det skal reageres med overtredelsesgebyr for overtredelsen, og de samme momentene er også avgjørende ved fastsettelsen av gebyrets størrelse. Av bokstav k følger at det skal legges vekt på «enhver annen skjerpende eller formildende faktor ved saken». I tråd med det som er påpekt i avsnittet ovenfor, framstår det for nemnda som klart at lang saksbehandlingstid må tillegges betydning for sanksjonsspørsmålet i saker om overtredelser av forordningen, og at dette momentet skal forankres i bokstav k.
Nemnda legger for sin vurdering til grunn at forberedelsene med sikte på å avgjøre denne saken startet med tilsynets krav om redegjørelse 9. mai 2019. Etter nemndas vurdering må det legges til grunn at faktum i saken i det alt vesentlige ble avklart med selskapets svarbrev 24. mai 2019, og nemnda kan heller ikke se at det etter dette tidspunktet gjenstod å foreta tidkrevende juridiske vurderinger. Tilsynets varsel om pålegg og overtredelsesgebyr ble likevel først sendt X AS 21. september 2020, altså nærmere 16 måneder etter at tilsynet hadde mottatt svarbrevet. Den lange saksbehandlingstiden er i varselet begrunnet med at tilsynet har begrensede ressurser, men siden denne saken verken faktisk eller rettslig er særlig kompleks, antar nemnda at ressursmangelen har hatt som konsekvens at saksbehandlingen har vært preget av lange perioder med inaktivitet. Dette er svært uheldig. Nemnda vil for ordens skyld bemerke at den ikke har innvendinger til saksbehandlingstiden fra varselet ble sendt 21. september 2020 til endelig vedtak ble fattet 7. desember 2020.
Nemnda har for øvrig merket seg at tilsynet i varselet til selskapet har beklaget den lange saksbehandlingstiden, men dette er etter nemndas vurdering klart nok ikke tilstrekkelig som kompensasjon. Saksbehandlingstiden er fra tilsynets side begrunnet med begrensede ressurser. Det er sikker konvensjonsrett at ressursmangel ikke anerkjennes av EMD som unnskyldningsgrunn, og nemnda nøyer seg her med å vise til framstillingen av konvensjonsretten inntatt i NOU 2003: 15 (Fra bot til bedring: Et mer nyansert og effektivt sanksjonssystem med mindre bruk av straff) s. 102 andre spalte. Dette må, slik nemnda ser det, gjelde uavhengig av om den lange saksbehandlingstiden representerer et brudd på EMK artikkel 6 eller ikke.
Etter en samlet vurdering har nemnda kommet til at overtredelsesgebyret skal reduseres skjønnsmessig med 150 000 kroner på grunn av den lange saksbehandlingstiden hos tilsynet.
Nemnda har merket seg at tilsynet i varselet 21. september 2020 foretar en gjennomgang av de momentene i artikkel 83 nr. 2 som er relevante for faktum i denne saken. I denne sammenhengen er ikke saksbehandlingstiden vurdert. Nemnda mener at tilsynet har en plikt til å gjøre rede for sin vurdering av saksbehandlingstidens betydning for sanksjonsspørsmålet. Nemnda viser her til Sivilombudsmannens avgjørelse 17. august 2012 i sak 2011/2718 (ileggelse av overtredelsesgebyr etter akvakulturloven), hvor ombudsmannen uttaler følgende:
«Når det gjelder saksbehandlingstidens lengde, har jeg merket meg at direktoratet på første side i vedtaket 5. juli 2011 beklaget at behandlingen av saken tok «uforholdsmessig lang tid». I svaret hit fremgår det at direktoratet vurderte saksbehandlingstidens lengde ved utmålingen av overtredelsesgebyret, men at dette ikke fikk utslagsgivende betydning. Lang saksbehandlingstid skal tillegges betydning under reaksjonsutmålingen, se NOU 2003:15 «Fra bot til bedring» pkt. 5.7.11 (side 102). Når det gjelder saksbehandlingstiden som forløp ut over den perioden saksbehandlingen var stanset i påvente av departementets vurdering av Grl. § 96, burde direktoratets vurdering fremkommet i vedtakets begrunnelse, jf. fvl. § 25.»
Nemnda ser det slik at denne uttalelsen har generell relevans for kravet til begrunnelsens innhold i saker der forvaltningen ilegger overtredelsesgebyr, og nemnda forutsetter at tilsynet heretter foretar en vurdering av saksbehandlingstidens betydning for sanksjonsspørsmålet.
X AS får etter dette delvis medhold i klagen.
Konklusjon
Datatilsynets vedtak om å ilegge X AS overtredelsesgebyr opprettholdes med den endring at gebyret settes til 250 000 kroner.
Vedtaket er enstemmig.
Oslo, 22. juni 2021
Mari Bø Haugstad
Leder