Personvernnemndas avgjørelse av 11. oktober 2016 (Eva I E Jarbekk, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage over ileggelse av overtredelsesgebyr som følge av overvåkning av tidligere arbeidstakeres epostkontoer.
2 Saksgang
Datatilsynet mottok klager fra tidligere ansatte den 28. oktober 2014 vedrørende angivelig manglende sletting av deres epostkontoer hos tidligere arbeidsgiver Synkron Media AS.
Datatilsynet sendte den 25. november 2014 et brev til Synkron Media AS med krav om en redegjørelse i sakens anledning, herunder svar på flere spørsmål.
Etter flere telefoniske purringer mottok tilsynet en redegjørelse den 27. januar 2015 (datert den 19. januar 2015).
Datatilsynet tilskrev Synkron Media AS på nytt den 11. februar 2015 og ba om ytterligere informasjon. Den 20. februar 2015 mottok tilsynet et brev fra styreleder på vegne av Synkron Media AS som bekreftet at epostadressene til de tidligere arbeidstakerne ble slettet i november 2014.
Den 20. mars 2015 mottok tilsynet en endelig redegjørelse fra virksomheten med en bekreftelse på at epostadressene ble slettet 10. november 2014.
Den 3. juli 2015 varslet Datatilsynet vedtak om overtredelsesgebyr. I brev av 17. august kommenterte Synkron Media AS varselet om vedtak og overtredelsesgebyr.
Den 8. desember 2015 fattet Datatilsynet følgende vedtak:
- Synkron Media AS pålegges i medhold av personopplysningsloven § 46 1. ledd å betale et overtredelsesgebyr stort kroner 75 000 – syttifem tusen 00/100 – for overtredelse av personopplysningsforskriften §§ 9-2 og 9-4 for ulovlig innsyn herunder kontinuerlig overvåking av tidligere arbeidstakeres epostkontoer, samt manglende sletting av disse.
- Synkron Media AS pålegges i medhold av personopplysningsloven § 46 4. ledd å avslutte sin praksis med å videresende/ viderekoble ansattes e-post når arbeidstaker slutter, samt utarbeide rutiner for deaktivering og sletting av epostkontoer når arbeidsforhold opphører.
I brev av 7. januar påklager Synkron Media AS vedtaket.
Saken ble oversendt Personvernnemnda 19. mai 2016, som mottok saken 31. mai 2016. Klager ble orientert om dette i brev fra nemnda datert 1. juni 2016, med frist til uttalelse innen 15. august 2016.
3 Faktum
Saken gjelder ulovlig innsyn i, herunder kontinuerlig overvåking av tidligere arbeidstakeres epostkontoer, samt manglende sletting av disse, jf personopplysningsforskriften §§ 9-2 og 9-4.
4 Klagers anførsler
Synkron Media AS har bedt om å få vite hva Datatilsynet legger til grunn for sitt avslag på å endre gebyrets størrelse. Klager mener at det ikke kommer tydelig frem hva som ligger til grunn for avslaget, og om alle punkter i § 46 tilsier at tilsynet ilegger «det strengeste gebyret». Videre bes det om at overtredelsesgebyrets størrelse vurderes på nytt, ettersom virksomheten hadde et regnskap som viste et negativt resultat for 2014.
5 Datatilsynets vurdering
Innledningsvis vil tilsynet bemerke at gebyrstørrelsen på kr 75 000 ikke er «det strengeste gebyret». Datatilsynet har hjemmel til å kunne ilegge langt større gebyr, men kr 75 000 er i tråd med praksis for lignende saker. Datatilsynet fant, etter å ha vurdert innsigelsene fra virksomheten til varsel om vedtak om overtredelsesgebyr, ikke grunn til å omgjøre beslutningen. Når det gjelder overtredelsesgebyrets størrelse, viser tilsynet til at det i forbindelse med vedtaket vurderte årsregnskapet for 2014 uten at tilsynet fant grunn til å endre gebyrets størrelse. Som det fremkommer av varsel om vedtak av 3. juli 2015 ser tilsynet hen til både allmenn- og individualpreventive hensyn ved utmålingen av gebyret. Tilsynet har også sett hen til tidligere praksis.
Når det gjelder overtredelse av personopplysningsforskriften §§ 9-2 og 9-4, vil Datatilsynet understreke at det er arbeidsgiver som er ansvarlig for at rutiner for håndtering (herunder sletting) av tidligere ansattes epostkasser blir fulgt, uavhengig av den ansattes stilling. Som det ble vist til i varsel om vedtak fremkom det i redegjørelsen fra virksomheten at de hadde egne rutiner for at epost automatisk skulle videresendes til salgs- og markedssjef når en person slutter. Denne automatiske videresendingen skulle vare i en måned slik at selskapet ikke mister viktig kundeinformasjon. I foreliggende tilfellet er det uklart hvor lenge videresendingen faktisk fant sted, men det avgjørende her er at virksomheten faktisk praktiserer automatisk videresending av epost når en person slutter, noe som innebærer et brudd på personopplysningsforskriften § 9-2.
Når det gjelder tidspunktet for sletting, fremkommer det som uklart når epostkontoen faktisk ble slettet. Synkron Media AS påstår at dette skjedde den 10. november 2014. De tidligere ansatte er av en annen oppfatning og mener de har holdepunkter som tilsier at epostkassen ble holdt åpen også ut over dette tidspunktet. Dersom man legger til grunn Synkron Media AS' påstand om at epostkassen ble slettet den 10. november, betyr det at epostkassens innhold ble lagret i over 10 måneder etter fratredelsestidspunktet. Det er også sannsynlig at epostkassen faktisk var aktiv frem til dette tidspunktet, det vil si at den ikke ble deaktivert før det var gått over 10 måneder. Dette er et klart brudd på personopplysningsforskriften § 9-4.
Synkron Media AS har forklart hvorfor man ikke fikk feilmelding når man sendte epost til de tidligere ansattes epostadresser. Tilsynet forstår det slik at alle epostadressene i de to selskapene ble videresendt til nye epostadresser da selskapene byttet navn til Synkron Media AS, herunder også tidligere ansattes epostkontoer. Dette kan kanskje forklare at videresendingen varte så lenge som den faktisk gjorde, men hadde virksomheten deaktivert og slettet epostkontoene i henhold til regelverket skulle dette likevel ikke ha skjedd.
Synkron Media AS har anført at selskapet på ingen måte har unngått å slette epostkontoene for å fremme deres egne interesser. Det vises til at de tidligere ansatte startet opp en konkurrerende virksomhet med nesten likelydende selskapsnavn som dem, samt at de overtok mange av virksomhetens kunder. I tilsynets vurdering av personopplysningsloven § 46 1. ledd litra d «om overtredelsen er begått for å fremme overtrederens interesser», skrev tilsynet i varsel om vedtak at «det antas at den automatiske videresendingen av A og Bs eposter, samt den manglende deaktiveringen av disse, ble gjort for å fremme arbeidsgiverens interesser» (Personvernnemndas anonymisering). Synkron Media AS viser selv til at det er fast praksis at epost til en fratrådt person automatisk videresendes til daglig leder i en måned etter at arbeidsforholdet er opphørt med den begrunnelse at selskapet ikke skulle miste kundeinformasjon. Det må anses som uomtvistelig at det å beholde/få tilgang til viktig kundeinformasjon er i virksomhetens interesse.
Datatilsynet er av den oppfatning at det ikke fremkommer nye opplysninger i klagen som gir grunn til å omgjøre vedtak om ileggelse av overtredelsesgebyr.
Tilsynet har notert seg at Synkron Media AS bekrefter at ansattes epost ikke videresendes etter arbeidsforholdets slutt, samt at den ansattes epost blir deaktivert og slettet snarest etter arbeidsforholdets opphør, jf vedtakspunkt nr. 2. Imidlertid ba tilsynet om å få oversendt dokumentasjon på rutiner for deaktivering og sletting av epostkontoer når arbeidsforhold opphører. Tilsynet har ikke mottatt dette. Tilsynet gjør i den forbindelse oppmerksom på at manglende dokumentasjon på rutiner for behandling av personopplysninger (herunder rutiner for håndtering av ansattes epost) for øvrig er brudd på personopplysningsloven § 14 som omhandler plikt til internkontroll.
6 Personvernnemndas syn
Nemnda skal vurdere ileggelsen av overtredelsesgebyr for overvåking av tidligere arbeidstakeres epostkasser og manglende sletting av disse, jf personopplysningsloven § 46. Datatilsynet har lagt til grunn at viderekobling av tidligere ansattes epost innebærer ulovlig innsyn etter personopplysningsforskriften kapittel 9. Forskriften kommer til anvendelse på både nåværende og tidligere arbeidstakere, jf § 9-1 tredje ledd. Nemnda konkluderer på samme måte som tilsynet med at virksomheten har foretatt innsyn i ansattes epost gjennom viderekoblingen, og at det foreligger brudd på personopplysningsforskriften § 9-2 og § 9-4.
Personvernnemnda skal vurdere Datatilsynets ileggelse av overtredelsesgebyr, herunder gebyrets størrelse.
Datatilsynet har ilagt et gebyr på kr 75 000. Tilsynet har funnet at klager har foretatt ulovlige innsyn i ansattes epostkasser. Personvernnemnda er enig i dette. Virksomheten har gjennomført innsyn, i form av videresending av ansattes epost, uten å følge regelverket i personopplysningsforskriften kapittel 9. Videre har klager unnlatt å slette/deaktivere tidligere ansattes epostkasser etter arbeidsforholdets opphør. Klager har således handlet i strid med personopplysningsloven.
Det følger av personopplysningsloven § 46 annet ledd at ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på de momenter som er nevnt i bokstavene a til h.
Etter bokstav a) skal det legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. I denne saken besto overtredelsen i å foreta innsyn/overvåke tidligere ansattes epostkasser i over 10 måneder etter fratredelse. Etter nemndas syn representerer dette krenkelser av de interesser som personopplysningsloven verner, slik som grunnleggende personvernhensyn, herunder behovet for privatliv, jf § 1 annet ledd.
Når det gjelder graden av skyld, jf § 46 bokstav b), skal det ved vurderingen legges vekt på om overtredelsen er resultat av et uhell eller en planmessig, villet handling. I denne saken har klager med viten og vilje gjennomført slike innsyn.
Videre skal det ifølge § 46 bokstav c) legges vekt på om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen. Dette var en bevisst og planmessig utført handling, jf drøftelsen under punkt b) ovenfor, og spørsmålet om klager kunne forebygget hendelsen er mindre aktuelt.
Ifølge § 46 bokstav d) skal det vektlegges om overtredelsen er begått for å sikre overtrederens interesser. Nemnda er av den oppfatning at når klager gjør dette for å beholde/få tilgang til viktig kundeinformasjon, så er det gjort for å sikre overtrederens interesser.
Videre skal det legges vekt på om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen, jf bokstav e). Nemnda viser til drøftelsen under punkt d).
Det følger av § 46 bokstav f) at det skal vektlegges om det foreligger gjentakelse. Etter nemndas oppfatning har overtredelsen vært fast praksis og således vedvarende og kontinuerlig.
Det skal legges vekt på om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff, jf bokstav g). Det er ikke tilfelle i denne saken.
Endelig skal det legges vekt på overtrederens økonomiske evne, jf bokstav h). Klager har anført at de hadde et negativt resultat i 2014. Datatilsynet har anført at dette er vektlagt uten at tilsynet fant grunn til å endre gebyrets størrelse. Nemnda ser at dårlig økonomi er et moment, men finner at det ikke er utslagsgivende i denne saken.
Ved utmålingen av gebyret har Datatilsynet uttalt at det er utmålt hensett til både allmenn- og individualpreventive hensyn. Nemnda finner at utmålingen er lagt på linje med Datatilsynets vanlige gebyrpraksis, jf PVN-2015-14 Viken Økonomi.
Nemnda ser ikke grunn til å endre gebyrets størrelse.
7 Vedtak
Klagen tas ikke til følge.
Oslo, 11. oktober 2016
Eva I E Jarbekk
Leder