Personvernnemndas avgjørelse av 22. april 2016 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på vedtak om overtredelsesgebyr for innsyn i tidligere arbeidstakeres epostkasse.
2 Saksgang
Saken startet ved at en tidligere ansatt (anonymisert til «A») i Viken Økonomi AS («VØ») ba VØ om å slette hans epostkasse etter hans fratreden den 30. juni 2014. På tross av anmodningene ble epostkassen ikke slettet, og viderekoblingen fortsatte frem til virksomheten mottok Datatilsynets krav om redegjørelse datert 18. august 2014.
Datatilsynet fattet vedtak den 16. april 2015 og ila VØ overtredelsesgebyr på kroner 75.000 for brudd på personopplysningsforskriften §§ 9-2, 9-3 og 9-4. Vedtak ble fattet på bakgrunn av virksomhetens praksis med å viderekoble ansattes epost etter fratreden. Vedtaket lød:
Viken Økonomi AS pålegges i medhold av personopplysningsloven § 46, l. ledd å betale et overtredelsesgebyr stort kroner 75 000 – syttifemtusen 00/100 – for overtredelse av personopplysningsforskriften §§ 9-2, 9-3 og 9-4 ved at de holdt epostkassen til (A) åpen etter at arbeidsforholdet var avsluttet, samt at de viderekoblet tidligere ansattes e-post, uten at prosedyrene i personopplysningsforskriften var fulgt.
(Nemndas anonymisering).
VØ påklaget vedtaket den 21. mai 2015.
Saken ble oversendt Personvernnemnda 18. september 2015, som mottok saken 7. oktober 2015. Klager ble orientert om saken i brev fra nemnda samme dag, med frist til uttalelse innen 2. november 2015. Klager har ikke kommentert saken innen fristen.
3 Faktum
Saken gjelder VØ sin håndtering av tidligere ansattes epostkasse, deriblant epostkassen til A. As arbeidsforhold opphørte 30. juni 2014.
Virksomhetens faste praksis har vært å holde epostkassen til tidligere ansatte åpen i en periode etter fratreden, med viderekobling av innkommet epost til leder. VØ har opplyst at de har en avtale om innsynsrett ved ansettelsen, og at ansatte også skriver under på at eposten viderekobles når de slutter.
A samtykket imidlertid ikke til viderekoblingen, og skrev ikke under på at eposten skulle viderekobles. Ved flere tilfeller anmodet han virksomheten om å slette epostkassen og stanse viderekoblingen. På tross av anmodningene ble epostkassen ikke slettet, og viderekoblingen fortsatte frem til virksomheten mottok Datatilsynets krav om redegjørelse datert 18. august
2014. As epost ble viderekoblet i perioden 30. juni – 19. august 2014, altså i underkant av to måneder.
VØ har ikke opplyst hvor lenge epostene til de andre tidligere ansatte ble viderekoblet. På bakgrunn av en epost A mottok fra virksomhetens ASP-leverandør 17. juni 2014 kan det imidlertid virke som at VØ vurderer dette konkret i hvert enkelt tilfelle. I eposten fremkommer det at «når ansatte slutter sier daglig leder/avdelingsleder opp tilgangen for vedkommende, i oppsigelsen angis tidspunktet som brukerkontoen skal deaktiveres». Det ble samtidig satt på en fraværsmelding om at personen har sluttet og at virksomheten kan kontaktes.
Viderekoblingen av eposten til A ble ifølge virksomheten foretatt på bakgrunn av mistanke om illojalitet fra As side. Viderekoblingen ble også foretatt for å kunne besvare innkomne kundehenvendelser. Privat epost ble ifølge virksomheten ikke lest/åpnet.
Basert på opplysningene i saken fattet Datatilsynet vedtak om overtredelsesgebyr pålydende kr 75.000 for brudd på personopplysningsforskriften §§ 9-2, 9-3 og
9-4, basert på at virksomheten holdt epostkassen til A åpen etter arbeidsforholdet var avsluttet, samt viderekoblet samtlige tidligere ansattes epost. Vedtaket ble fattet i tråd med Datatilsynets forvaltningspraksis.
4 Klagers anførsler
Spørsmålet i saken er ileggelsen av overtredelsesgebyr og gebyrets størrelse. VØ mener det ikke er grunnlag for å ilegge overtredelsesgebyr i saken. Subsidiært anfører virksomheten at størrelsen på gebyret må nedjusteres.
VØ har fremsatt flere argumenter for at overtredelsesgebyr i saken er urimelig. VØ anfører at det må legges større vekt på As stilling i virksomheten og at de har en avtale om innsynsrett. Videre hevder virksomheten at Datatilsynet ikke har lagt vekt på virksomhetens økonomiske situasjon. Klager mener også at viderekobling av innkommet epost ikke innebærer innsyn etter personopplysningsforskriften kapittel 9.
4.1 Viderekobling innebærer ikke innsyn i ansattes epost
VØ anfører at det ikke er gjort innsyn i As epostkasse. Eposten er kun viderekoblet for å besvare kundehenvendelser. I tillegg anføres at privat epost ikke er åpnet. For øvrig anser VØ at epostkassen er deres eiendom, og at A ikke skulle brukt virksomhetens epostkasse til å sende privat korrespondanse.
4.2 As stilling og opptreden i virksomheten
Etter VØ's oppfatning må det legges vekt på at A ikke var en alminnelig ansatt. A var i tillegg kjent med rutinene vedrørende viderekobling, og burde derfor reagert på praksisen på et tidligere tidspunkt, ikke når han selv sa opp stillingen sin.
VØ hevder dessuten at A burde tatt opp saken direkte med virksomheten før han kontaktet Datatilsynet. Dersom A hadde informert virksomheten at han ikke ville akseptere viderekobling kunne de forholdt seg til dette, og endret rutinene for viderekobling.
VØ hevder i tillegg at As adferd på slutten av arbeidsforholdet var kritikkverdig. A ville ikke legge inn fraværsmelding om at han skulle slutte, og lot heller ikke virksomheten informere kunder om at han skulle slutte. A sluttet også i en periode full av gjøremål som årsoppgjør og selvangivelser. Tre måneders oppsigelsestid var derfor ikke nok tid til å ivareta kundehenvendelser etc. Virksomheten har tidligere også vist til at viderekobling var nødvendig fordi A angivelig tok med seg kunder til sin nye arbeidsgiver.
4.3 Avtale om innsynsrett/samtykke
VØ viser til at de har en avtale om innsynrett som de ansatte skriver under på ved ansettelsen, og at ansatte også erklærer skriftlig at eposten kan viderekobles når de slutter. VØ erkjenner imidlertid at A ikke har skrevet under på en slik erklæring, og ser at de burde forespurt han om dette. Virksomheten er dessuten uenig i at det er en skjev maktbalanse i forholdet mellom virksomheten og A, grunnet As stilling i virksomheten.
4.4 De økonomiske konsekvensene for virksomheten
VØ viser til at A har tatt med seg flere av virksomhetens kunder, og at virksomheten av den grunn er betydelig skadelidende. Virksomheten har derfor tatt betydelige grep for å unngå oppsigelser og permitteringer, deriblant har eieren tilført selskapet kapital/driftslikviditet med et lån på en million kroner.
Virksomheten hevder Datatilsynet ikke har vektlagt virksomhetens økonomiske stilling i vurderingen av om overtredelsesgebyr bør ilegges, og mener størrelsen på gebyret uansett er satt for høyt i forhold til virksomhetens størrelse.
4.5 Bransjens praksis knyttet til viderekobling av ansattes e-post
Ifølge VØ er viderekobling av epost etter ansattes fratreden fast praksis i bransjen, og anfører at dette må ha betydning for vurderingen. VØ hevder i tillegg at virksomhetens ansatte er overrasket og forferdet av det som har skjedd, da de har vært meddelt at eposten viderekobles, og at viderekobling ikke har vært et problem før A sluttet.
5 Datatilsynets vurdering
5.1 Er det foretatt innsyn i epostkassen?
Datatilsynet presiserer at viderekobling av all innkommet epost innebærer innsyn etter personopplysningsforskriften kapittel 9. Etter Datatilsynets syn er det derfor ikke korrekt at virksomheten ikke har gjort innsyn i ansattes epost. Metoden medfører at arbeidsgiver kan se både navn og emnefelt på all innkommende epost, og har i tillegg tilgang til epostenes innhold. Videre har arbeidsgiver tilgang til eventuelle private eposter.
Viderekobling av innkommet epost undergraver dessuten formålet med regelverket, deriblant ansattes vern mot uberettigede innsyn og retten til å kommunisere fritt.
Datatilsynet fastholder derfor at virksomheten har foretatt innsyn i ansattes epost gjennom viderekoblingen, og at det foreligger brudd på personopplysningsforskriften § 9-2. Tilsynet presiserer samtidig at det også foreligger brudd på §§ 9-3 og 9-4.
5.2 As stilling og opptreden i virksomheten
Etter Datatilsynets syn er det som utgangspunkt ikke avgjørende for vurderingen hva slags stilling en ansatt har, såfremt personen er satt til å utføre arbeid for virksomheten, jf personopplysningsforskriften § 9-1 tredje ledd. Både alminnelige ansatte og ansatte med større ansvar kan føle ubehag og krenkelse ved ikke å vite hva slags opplysninger arbeidsgiver tilegner seg. Viderekobling av epost kan dessuten være krenkende for tredjeparter som sender epost til vedkommende.
I vurderingen av ileggelse av overtredelsesgebyr er det dessuten lagt vekt på at samtlige tidligere ansattes epost ble viderekoblet. Etter Datatilsynets vurdering er derfor As stilling i virksomheten av mindre betydning for om overtredelsesgebyr bør ilegges.
På bakgrunn av As angivelige opptreden på slutten av arbeidsforholdet har Datatilsynet likevel ment at det var adgang til å foreta et enkeltstående innsyn i epostkassen, jf personopplysningsforskriften § 9-2 bokstav b. Da først og fremst fordi virksomheten hadde mistanke om at A brukte eposten til å rekruttere kunder til sin nye arbeidsgiver.
Tilsynet fastholder likevel vurderingen om at det ikke var tillatt å viderekoble all den innkomne eposten, da bruk av viderekobling innebærer en kontinuerlig overvåking av arbeidstakers elektroniske utstyr, jf personopplysningsforskriften § 9-2 siste ledd. Dette gjelder uavhengig av hva som er formålet med viderekoblingen. At arbeidsforholdet er opphørt og at viderekoblingen kun skjer i en kort periode endrer ikke dette.
Videre er det ikke korrekt at virksomheten ville endret rutinene for viderekobling dersom A hadde kontaktet dem direkte, og ikke Datatilsynet. Dokumentasjonen i saken viser at A kontaktet virksomheten, i hvert fall ved to anledninger, og ba dem stanse viderekoblingen. Da viderekoblingen ikke stanset sendte A en klage til Datatilsynet.
Etter Datatilsynets syn bør det legges vekt på at virksomheten fortsatte viderekoblingen, på tross av henvendelser fra A der han viser til regelverket rundt innsyn i epost.
5.3 Avtale/samtykke som rettslig grunnlag for innsyn i epost
Etter Datatilsynets vurdering er virksomhetens anførsel om at de har en avtale om innsynrett og samtykkeerklæring ikke holdbar.
Avtalen virksomheten har lagt ved viser for det første bare generelt til personopplysningsforskriften § 9-24, og nevner ikke viderekobling. Virksomhetens redegjørelse for hvordan de innhenter samtykke har dessuten vært sprikende, slik at det er uklart hvordan samtykket innhentes i praksis.
For det andre er det uansett ikke adgang til å fastsette instruks eller inngå avtale om innsyn som gir et dårligere vern for arbeidstaker enn forskriftens bestemmelser, jf personopplysningsforskriften § 9-5. Tilsynet legger til grunn at en avtale om viderekobling normalt er til ugunst for arbeidstakeren, og derfor gir et dårligere vern enn forskriften.
For at et samtykke skal være gyldig etter personopplysningsloven kreves det i tillegg at samtykket er avgitt frivillig, jf personopplysningsloven § 2 nr. 7. Samtykke fra arbeidstakere i slike situasjoner vil trolig være ugyldig grunnet den skjeve maktbalansen i arbeidsforhold. En arbeidstaker kan således føle seg presset til å samtykke, selv om dette ikke nødvendigvis er tilsiktet fra virksomhetens side. Samtykke kan derfor normalt ikke anses som fullstendig frivillig avgitt.
At et samtykke normalt ikke vil være et gyldig grunnlag for innsyn illustreres også i nærværende sak. Dette fordi viderekoblingen ble gjennomført på tross av at A klart ga uttrykk for at han ikke samtykket. Av den grunn mener tilsynet også at det er uriktig å hevde at maktbalansen mellom A og virksomheten ikke er skjev.
Automatisk viderekobling av epost vil derfor ikke være tillatt, uavhengig av om det foreligger en avtale eller et samtykke, jf personopplysningsforskriften § 9-5.
5.4 Vurdering av virksomhetens økonomiske evne
Virksomhetens økonomiske evne er tatt i betraktning fra Datatilsynets side, både i vurderingen av om gebyr skal ilegges og ved utmålingen. Tilsynet fant imidlertid ikke grunn til å legge avgjørende vekt på virksomhetens nåværende økonomiske situasjon da denne vil ha begrenset betydning dersom det er snakk om en grov overtredelse.
Det følger videre av Datatilsynets praksis at urettmessige innsyn i ansattes epostkorrespondanse vurderes som alvorlige krenkelser av den enkeltes privatliv, og allmennpreventive hensyn tilsier også at gebyret bør være av en viss størrelse. Tilsynet kan uansett ikke se at et gebyr på kr 75 000 vil være av avgjørende betydning for virksomhetens økonomiske situasjon, og dette er heller ikke dokumentert fra virksomhetens side.
5.5 Datatilsynets merknad til bransjens praksis
Datatilsynet har ikke funnet grunn til å legge vekt på anførselen om at bransjen praktiserer viderekobling. Tilsynet mener virksomheten selv er ansvarlig for å påse at de følger regelverket. Etter Datatilsynets syn må det i tillegg fremstå som klart for virksomheten at praksisen kan oppleves som krenkende for både klager og øvrige ansatte.
5.6 Avsluttende merknader
Etter Datatilsynets vurdering innebærer urettmessig innsyn i epost en krenkelse av grunnleggende interesser som loven verner og et inngrep i retten til å korrespondere fritt. Tilsynet mener det i tillegg er særlig alvorlig at innsynet skjer gjennom en viderekobling av all innkommet epost. Ved en slik metode vil i prinsippet all innkommet epost, deriblant privat epost, være tilgjengelig for arbeidsgiver. Dette kan bidra til å skape stor usikkerhet for arbeidstakeren.
Allmennpreventive hensyn tilsier også at gebyr bør ilegges i saken. Det skal legges vekt på om saken kan ha betydning utenfor den konkrete saken, og i dette tilfellet mener tilsynet det er av betydning ettersom virksomheten selv viser til at bransjen praktiserer viderekobling av ansattes epost.
6 Personvernnemndas syn
Nemnda skal vurdere ileggelsen av overtredelsesgebyr for innsyn i tidligere arbeidstakeres epostkasse, jf personopplysningsloven § 46.
6.1 Innsyn i epostkasse
Datatilsynet har lagt til grunn at viderekobling av en ansatts epost innebærer innsyn etter personopplysningsforskriften kapittel 9. I denne saken er det tale om en tidligere arbeidstakers epostkasse. Forskriften kommer til anvendelse på både nåværende og tidligere arbeidstakere, jf § 9-1 tredje ledd. Nemnda konkluderer på samme måte som tilsynet med at virksomheten har foretatt innsyn i ansattes epost gjennom viderekoblingen, og at det foreligger brudd på personopplysningsforskriften § 9-2, samt §§ 9-3 og 9-4.
6.2 As stilling
Datatilsynet har lagt til grunn at det ikke er avgjørende for vurderingen hva slags stilling en ansatt har, såfremt personen er satt til å utføre arbeid for virksomheten, jf personopplysnings-forskriften § 9-1 tredje ledd. På bakgrunn av As angivelige opptreden på slutten av arbeidsforholdet har Datatilsynet likevel ment at det var adgang til å foreta et enkeltstående innsyn i epostkassen, jf personopplysningsforskriften § 9-2 bokstav b) fordi virksomheten hadde mistanke om at A brukte eposten til å rekruttere kunder til sin nye arbeidsgiver. Tilsynet fastholdt likevel at det ikke var tillatt å viderekoble all den innkomne eposten, da bruk av viderekobling innebærer en kontinuerlig overvåking av arbeidstakers elektroniske utstyr, jf personopplysningsforskriften § 9-2 siste ledd. Nemnda slutter seg i hovedsak til Datatilsynets resonnement.
6.3 Avtale som rettslig grunnlag for innsyn i epost
Klager anfører at de har en avtale om innsynrett. A hadde imidlertid ikke undertegnet denne avtalen. Det er derfor forskriftens hovedregler som kommer til anvendelse. Avtale som rettslig grunnlag for innsyn foreligger ikke.
6.4 Ileggelse av gebyr
Personvernnemnda skal vurdere Datatilsynets ileggelse av overtredelsesgebyr, herunder gebyrets størrelse.
Datatilsynet har ilagt et gebyr på kr 75 000. Tilsynet har funnet at klager har foretatt ulovlige innsyn i ansattes epostkasser. Personvernnemnda er enig i dette. Virksomheten har gjennomført innsyn, i form av automatisk videresending av ansattes epost, uten å følge regelverket i personopplysningsforskriften kapittel 9. Klager har således handlet i strid med personopplysningsloven.
Det følger av personopplysningsloven § 46 annet ledd at ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på de momenter som er nevnt i bokstavene a til h.
Etter bokstav a) skal det legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. I denne saken besto overtredelsen i å foreta innsyn i ansattes/tidligere ansattes epostkasser. Etter nemndas syn representerer dette krenkelser av de interesser som personopplysningsloven verner, slik som grunnleggende personvernhensyn, herunder behovet for privatliv, jf § 1 annet ledd.
Når det gjelder graden av skyld, jf § 46 bokstav b), skal det ved vurderingen legges vekt på om overtredelsen er resultat av et uhell eller en planmessig, villet handling. I denne saken har klager med viten og vilje gjennomført slike innsyn, og endog fortsatte videresendingen etter at A hadde bedt om at de sluttet.
Videre skal det ifølge § 46 bokstav c) legges vekt på om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen. Dette var en bevisst og planmessig utført handling, jf drøftelsen under punkt b) ovenfor, og spørsmålet om klager kunne forebygget hendelsen er mindre aktuelt.
Ifølge § 46 bokstav d) skal det vektlegges om overtredelsen er begått for å sikre overtrederens interesser. Nemnda er av den oppfatning at når klager gjør dette for å sikre seg bevis for eventuell uønsket opptreden fra tidligere ansattes side, så er det gjort for å sikre overtrederens interesser.
Videre skal det legges vekt på om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen, jf bokstav e). Nemnda kan ikke se at klager har hatt noen særlig fordel av dette.
Det følger av § 46 bokstav f) at det skal vektlegges om det foreligger gjentakelse. Etter nemndas oppfatning har overtredelsen vært fast praksis og således vedvarende og kontinuerlig.
Det skal legges vekt på om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff, jf bokstav g). Det er ikke tilfelle i denne saken.
Endelig skal det legges vekt på overtrederens økonomiske evne, jf bokstav h). Klager har anført at økonomien er dårlig og at eieren var nødt til å tilføre selskapet kapital for å unngå permitteringer/oppsigelser. Nemnda ser at dette er et moment, men at det ikke er utslagsgivende i denne saken.
Ved utmålingen av gebyret har Datatilsynet uttalt at det er satt så høyt av allmennpreventive hensyn. Nemnda finner at utmålingen er lagt på linje med Datatilsynets gebyrpraksis.
Nemnda ser ikke grunn til å endre gebyrets størrelse.
7 Vedtak
Klagen tas ikke til følge.
Oslo, 22. april 2016
Eva I E Jarbekk
Leder