Home

PVN-2014-08 Fjell kommune

Datatilsynets referanse: 
13/00400-12/HTL

Personvernnemndas avgjørelse av 2. desember 2014 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Ann R Sætnan, Gisle Hannemyr, Marta Ebbing)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets beslutning om ikke å ilegge overtredelsesgebyr etter personopplysningsloven § 46.

2 Saksgang

Datatilsynet har mottatt en klage på beslutning om ikke å ilegge et overtredelsesgebyr i sak, i brev av 29. november 2013 fra advokat Janneche C. Lindtner.

I brevet bes det om at Datatilsynet omgjør sin beslutning om ikke å ilegge Fjell kommune et overtredelsesgebyr for brudd på personopplysningsloven. Datatilsynet har kommet til at det ikke vil omgjøre beslutningen.

Saken ble oversendt Personvernnemnda 3.4.2014, som mottok saken 7.4.2014. Klager ble orientert om dette i brev fra nemnda datert 8.4.2014, med frist til uttalelse innen 24.4.2014. Klagers advokat ba om fristutsettelse til 30.5.2014 i brev av 11.4.2014. Fristutsettelse ble innvilget i epost av 23.4.2014. Klagers advokat innga merknader til saken i brev datert 27.5.2014.

3 Faktum

Saken omhandler Fjell kommunes håndtering av opplysninger om klager. Klager har mottatt sosialstønad fra kommunen. Ved utbetaling av slik stønad har kommunen påført betalingsblankettene informasjon om hva slags økonomisk ytelse det er snakk om, informasjon som var synlig for mottaker av ytelsen og banken som gjennomførte utbetalingen. Kommunen har erkjent at dette innebærer et brudd på lovbestemt taushetsplikt. Etter Datatilsynets vurdering innebar spredningen av personopplysningene også et brudd på krav i personopplysningsloven. Datatilsynet vurderte hvorvidt bruddet på krav i personopplysningsloven skulle medføre at kommunen skulle ilegges et overtredelsesgebyr, jf. lovens § 46, men fattet ikke vedtak om dette. Det er denne vurderingen som nå er påklaget.

4 Klagers anførsler

Klager anfører at grunnen til at Fjell kommune påførte overføringsbilagene til bank hva utbetalingen gjaldt, var at Fjell kommune hadde interesse i å gjøre det slik – fordi økonomikontoret på den måten fikk bedre oversikt og kontroll med eget budsjett til hva midlene gikk til konkret.

Klager anmodet derfor Datatilsynet om å omgjøre etter eget tiltak den del av vedtaket som gjelder overtredelsesgebyr. I skrivet har tilsynet kommet til at det ikke er påkrevet å ilegge Fjell kommune overtredelsesgebyr med den begrunnelse at kommunen ikke har påført utbetalingsblankettene opplysninger om type stønad for å tjene egne interesser. Dette har Datatilsynet gjort, uten å vise i til forvaltningslovens saksbehandlingsregler, jf. §§ 24 og 25, om hvordan tilsynet har vektet faktum og hvordan Datatilsynet har kommet til denne begrunnelsen.

Klager viser videre til personopplysningsloven § 46. Denne hjemler overtredelsesgebyr etter en helhetsvurdering hvor overtredelsens alvorlighetsgrad, grad av skyld, mulighet for å forebygge overtredelsen, om overtredelsen er begått for å fremme overtrederens interesse, om overtrederen har fordel av overtredelsen, gjentakelse, andre reaksjoner og overtrederens økonomiske evne. Klager viser herunder til ot.prp. Ot.prp.nr.71 (2007-2008) (endringslov) side 12, hvor det står, sitat:

Datatilsynets avgjørelse av om overtredelsesgebyr skal ilegges, vil bero på en skjønnsmessig helhetsvurdering, men annet ledd bokstav a til h angir momenter som det særlig skal/egges vekt på ved vurderingen. Disse momentene skal også vektlegges i vurderingen av hvor stort et eventuelt overtredelsesgebyr skal være.

Etter bokstav a skal det legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. Av personopplysningsloven§ l annet ledd følger at loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Med« graden av skyld» i bokstav b siktes det til hvor klanderverdig handlingen er, for eksempel om den bærer preg av et uhell eller om den har et mer systematisk eller planmessig preg. Etter bokstav c skal det legges vekt på om overtrederen kunne ha forebygge/ overtredelsen ved for eksempel interne rutiner. Dette har også betydning for graden av skyld, jf. bokstav b. Momentet vil særlig ha betydning når overtrederen er behandlingsansvarlig eller annen overordnet. Bokstav d angir som moment «om overtredelsen er begått for å fremme overtrederens interesser». Interessene må ikke nødvendigvis være av økonomisk art. Vurderingstemaet i bokstav der nært knyttet til momentet i bokstav e. Etter den sistnevnte bokstaven sluddet legges vekt på om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen. Det er tilstrekkelig at overtredelsen etter sin art er egnet til å oppnå en fordel, jf. «kunne ha oppnådd». Fordelen må ikke være av økonomisk karakter. Etter bokstav f skal det legges vekt på om det foreligger gjentakelse. Momentet i bokstav g- om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff- kan få anvendelse blant annet når en ansatt hos den behandlingsansvarlige ilegges straff for den samme handlingen, eller når eieren selv, i et enkeltmannsforetak, ilegges en slik reaksjon. Videre skal det etter bokstav h legges vekt på overtrederens økonomiske evne. Dette momentet vil normalt ha større betydning for utmåling av overtredelsesgebyr enn for vurderingen av om overtredelsesgebyr skal ilegges, men det vil likevel ha nokså begrenset betydning dersom det først er en grov overtredelse, jf. bokstav a.

Ved å sette sakens opplysninger inn i en helhetlig kontekst oppsummerer klager følgende; Overtredelsen har blitt begått gjentatte ganger fra Fjell kommune sin side, også etter at Sivilombudsmannen uttalte seg. Videre har overtredelsen vært et brudd på grunnleggende personvernhensyn – noe som viser at overtredelsen er alvorlig og klanderverdig. Videre kunne Fjell kommune ha forhindret og forebygget overtredelsen ved å endre egne rutiner. De kunne ha påført utbetalingene koder eller annet som hemmeligholdt hva utbetalingen gjaldt overfor bankene. Sist men ikke minst så viser uttalelsene fra kommunen om at Fjell kommune hadde denne praksisen og fortsatte med denne inntil de ble stoppet – fordi de nettopp oppnådde en fordel med dette; nemlig at økonomikontoret ved å påføre bilagene "nødhjelp" eller lignende, førte kontroll og loggførte utbetalingene på denne måten. Klager viser herunder til at forarbeidene opplyser at det er tilstrekkelig for å kunne ilegge et overtredelsesgebyr at Fjell kommune hadde en slik type fordel av sin lovstridige praksis. Den behøvde ikke å være av økonomisk art.

På bakgrunn av dette anmoder klager Datatilsynet til å ilegge et overtredelsesgebyr. Det må hensyntas at Fjell kommune er et forvaltningsorgan og har bæreevne til et slikt gebyr.

Det er viktig at Datatilsynet viser at de tar saken alvorlig, da det er et offentlig forvaltningsorgan som har brutt personopplysningsloven. Videre er det av betydning at det er en privatperson alene som har vært nødt til å ta opp kampen mot dette organet – for å ta rettet opp den ukorrekte praksisen.

5 Datatilsynets vurdering

Etter Datatilsynets vurdering innebar spredningen av personopplysningene et brudd på krav i personopplysningsloven. Utlevering av personopplysningene til banken som sto for formidlingen av den økonomiske støtten oppfyller ikke grunnvilkårene i lovens § 11 første ledd bokstav a og b. Datatilsynet vurderte hvorvidt bruddet på krav i personopplysningsloven skulle medføre at kommunen skulle ilegges et overtredelsesgebyr, jf. lovens § 46, men fattet ikke vedtak om dette.

Innledningsvis bemerkes det at av de henvendelser Datatilsynet mottar hvor tilsynet gjøres kjent med brudd på personopplysningsloven, er det kun et fåtall som resulterer i at tilsynet ilegger overtredelsesgebyr.

Hensynet til likebehandling av saker som vurderes som like alvorlige tilsier at det ikke fattes vedtak om overtredelsesgebyr i denne saken. I den forbindelse kan det for eksempel vises til en sak der NAV hadde sendt ut blant annet en detaljert legeerklæring med svært følsomme, og i lovens forstand sensitive, personopplysninger om en bruker, til mottakere som var å anse som totalt utenforstående (DT referanse 13 /01103). NAV erkjente feilen som var gjort, og påtok seg å dekke brukerens advokatkostnader. Saken resulterte ikke i at Datatilsynet ila overtredelsesgebyr.

Overtredelsesgebyr ilegges kun unntaksvis, der det fremstår som påkrevet. Lovbruddet må fremstå som alvorlig, og personvernkrenkelsen må være betydelig. Ved vurderingen av om overtredelsesgebyr skal gis ser tilsynet hen til vurderingskriteriene i lovens § 46. Det er imidlertid ikke alltid tilstrekkelig at alle eller et flertall av disse kriteriene kan sies å være oppfylt, de må samlet sett, og ikke minst med tilstrekkelig tyngde, trekke i retning av at overtredelsesgebyr bør gis. Bruddet på personopplysningsloven bør fremstå som straffverdig, noe Datatilsynet mener ikke er tilfellet i denne saken. Overtredelsesgebyr ilegges normalt bare når regelbruddet bærer preg av grov systemsvikt eller det har hatt store uheldige konsekvenser for den registrerte.

Datatilsynet har foretatt en helhetsvurdering basert på kriteriene som fremgår av personopplysningsloven § 46. Tilsynet har vurdert sakens faktum opp mot alle disse momentene og er stadig av den oppfatning at faktum ikke tilsier at det bør ilegges overtredelsesgebyr, som altså er en meget streng reaksjon.

Tilsynet har også sett hen til innholdet i brevet fra advokat Lindtner av 11. desember 2013, der det gjøres et poeng ut av kommunens økonomikontor, ved å påføre overføringsbilagene informasjon om hva utbetalingene gjaldt, har fått bedre kontroll med overholdelse av eget budsjett. Kommunen kan derfor sies å ha oppnådd en fordel ved å utlevere beskyttelsesverdige personopplysninger, jf. personopplysningslovens § 46 første ledd bokstav e. At en kommune eller virksomhet angir hva som er bakgrunnen for utbetalinger på blankettene som benyttes, fremstår som forståelig og hensiktsmessig. At en kommune også gjør det ved utbetaling av sosialstønad fremstår imidlertid som svært lite gjennomtenkt, men ikke som en bevisst handling utført for å tjene egne interesser, selv om det går på bekostning av de registrertes personvern. Det bør ikke være slik at en behandling som har preg av å være helt tilfeldig og formålsløs skal vurderes mildere enn behandlinger som tross alt kan sies å tjene et saklig formål. Opplysningene som fremkommer i brevet av 11. desember endrer derfor ikke tilsynets vurdering.

6 Personvernnemndas merknader

Personvernnemnda skal i denne saken vurdere om Datatilsynet skal ilegge overtredelsesgebyr i saken, jf personopplysningsloven § 46. Annet ledd inneholder vilkår som skal vektlegges ved utmåling av eventuelt gebyr. Datatilsynet kom til at det ikke skulle ilegges overtredelsesgebyr i denne saken til tross for at tilsynet konkluderte med at spredningen av personopplysningene var et brudd på personopplysningsloven. Det ble vist til at hensynet til likebehandling av saker og at tilsvarende saker tidligere ikke er ilagt gebyr.

Personvernnemnda vurderer lovbruddets alvorlighetsgrad annerledes enn Datatilsynet og er kommet til at overtredelsen bør ilegges gebyr. Regelbruddet bærer etter nemndas syn preg av grov systemsvikt og fremstår som forsettlig eller grov uaktsom. Overtredelsen har krenket grunnleggende personverninteresser for en større krets av personer og krenkelsen har medført utlevering av følsomme personopplysninger. Nemnda vurderer dette som en alvorlig krenkelse av grunnleggende personvernprinsipper. Overtredelsen er blitt begått gjentatte ganger og over lang tid. Kommunen hadde anledning til å endre sin praksis, men fortsatte med den rettsstridige praksis endog etter at Sivilombudsmannen uttalte seg i saken. Nemnda finner at det at kommunen har hatt anledning til å rette sine mangelfulle interne rutiner, men har valgt å ikke gjøre det, er alvorlig.  Personvernnemnda er i tvil om kommunen reelt sett har oppnådd noen signifikant administrativ eller økonomisk fordel ved sin praksis, men finner uansett at dette ikke kan være avgjørende. Det er tale om brudd på lovbestemt taushetsplikt og brudd på personopplysningsloven. Krenkelsen angår en ubestemt krets av personer som i utgangspunktet er i en utsatt og sårbar situasjon og personopplysningene er utlevert til en aktør, en bank, som vil være i en sterk posisjon overfor den registrerte.

Personvernnemnda omgjør Datatilsynets avgjørelse og sender saken tilbake til Datatilsynet for fastsettelse av gebyr, jf § 46.

7 Vedtak

Klagen tas til følge. Datatilsynets beslutning om ikke å ilegge Fjell kommune overtredelsesgebyr for brudd på personopplysningsloven omgjøres og saken sendes tilbake til Datatilsynet for utmåling av gebyr.

Oslo, 2. desember 2014

Eva I E Jarbekk
Leder