Home

PVN-2017-09 Behandling av personopplysninger hos Lotteri- og stiftelsestilsynet – Datatilsynets avvisning av sak

Datatilsynets referanse: 
16/01861-5/EOL

Personvernnemndas avgjørelse av 25. september 2017 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Hans Marius Graasvold, Line Coll, Hans Marius Tessem)

1 Innledning

Saken gjelder klage på Datatilsynets vedtak om å avvise en sak av prioriteringshensyn. Opprinnelig gjaldt klagen at Lotteri- og stiftelsestilsynet fikk tilgang til personopplysninger fra Arbeidsgiver/arbeidstakerregisteret og Folkeregisteret og brukte disse opplysningene i en tilsynsrapport etter gjennomført tilsyn i Stiftelsen romanifolkets/taternes kulturfond (heretter Stiftelsen).

2 Sakens bakgrunn

I forbindelse med at Lotteri- og stiftelsestilsynet gjennomførte tilsyn hos Stiftelsen fikk de etter søknad til NAV innvilget tilgang til Aa-registeret med hjemmel i folketrygdloven § 25-1 fjerde ledd. De fikk også etter søknad til Skattedirektoratet gitt online tilgang til visse opplysninger i Folkeregisteret. Opplysningene ble benyttet i tilsynsrapporten som av Stiftelsen er opplyst å være offentlig.

Tre privatpersoner som var omhandlet i tilsynsrapporten mente Lotteri- og stiftelsestilsynet utleverte personopplysninger i strid med loven og de vilkårene som var stilt i vedtaket om tilgang til Aa-registeret og Folkeregisteret. Privatpersonene klaget til NAV som i januar i år kom til at «det ikke foreligger tilstrekkelig grunnlag for å konkludere at det foreligger brudd på tilgangsvedtakets vilkår som tilsier å trekke tilbake deres tilgang til Aa-registeret». De fant imidlertid grunn til å minne om taushetsplikten som gjelder ved bruk av opplysningene. Vedtaket er klaget videre inn til Arbeids- og velferdsdirektoratet. Svaret fra Arbeids- og velferdsdirektoratet er ikke oversendt Personvernnemnda. De samme privatpersonene har klaget til Skattedirektoratet over Lotteri- og stiftelsestilsynets bruk av opplysninger fra Folkeregisteret, uten å ha fått medhold i denne klagen.

Lotteri- og stiftelsestilsynets bruk av personopplysninger fra Aa-registeret og Folkeregisteret er også klaget inn til Datatilsynet. Datatilsynet avviste klagen og viste til at de ikke anså det som riktig å prioritere å ta saken opp til behandling. Saken har ikke av Datatilsynet vært forelagt Lotteri- og stiftelsestilsynet. Datatilsynet uttalte videre at de ikke hadde funnet grunn til å overprøve NAVs vurdering av at den beskrevne behandlingen av personopplysninger var lovlig.

Personvernnemnda mottok saken 8. juni 2017. Klagerne ble orientert om dette i brev fra nemnda, med frist for uttalelse. Klagerne ga sine merknader i brev av 30. juni 2017.

Tilsynsrapporten er ikke er oversendt Personvernnemnda, og nemnda er derfor ikke kjent med hvordan og eksakt hvilke opplysninger som fremkommer. Deler av de dokumentene som klagerne har oversendt er også anonymisert ved overstrykninger slik at navn på personer og selskaper ikke fremkommer. Personvernnemnda har likevel funnet saken tilstrekkelig opplyst til å treffe vedtak, uten at ytterligere opplysninger innhentes. Nemnda har lagt klagernes opplysninger til grunn om at det gjengis personidentifiserbare opplysninger hentet fra Aa-registeret og Folkeregisteret i tilsynsrapporten, og at den er offentlig.

3 Klagernes anførsler

Klagerne ønsker at Datatilsynet skal realitetsbehandle saken. Klagerne mener også at Datatilsynet faktisk har foretatt en reell vurdering når det uttaler i oversendingsbrevet at det ikke har funnet grunn til å overprøve NAVs vurdering. Det er en saksbehandlingsfeil av Datatilsynet at de ikke i det hele tatt har vurdert eller nevnt bruken av opplysninger fra Folkeregisteret.

Datatilsynet skulle vurdert om Lotteri- og stiftelsestilsynet lovlig kunne hente ut opplysninger fra Aa-registeret og fra Folkeregisteret, og om disse opplysningene er utlevert til tredjepart i strid med tilgangsvedtakets vilkår, og/eller i strid med vilkårene i Folkeregisterloven. Folkeregisterloven åpner ikke for slik utlevering av personopplysninger og det kan derfor ikke være tvilsomt at Lotteri- og stiftelsestilsynet har brutt bestemmelsene om taushetsplikt i folkeregisterloven. Selv om loven åpner for en begrenset utlevering av opplysninger fra Aa-registeret så har Lotteri- og stifteslestilsynet utlevert opplysninger utover hva som er tillatt.

Det er ikke mulig å forstå hvilket faktum og hvilke rettsregler Datatilsynet og NAV registerforvaltning har lagt til grunn for sitt vedtak. Når verken Skattedirektoratet eller NAV registerforvaltning har valgt å påtale disse lovbruddene fra Lotteri- og stiftelsestilsynet, så utfører de ikke sine lovpålagte oppgaver som registereiere etter NAV-loven, folkeregisterloven og personopplysningsloven.

4 Datatilsynets vurdering

Tilsynet vil ikke prioritere saksbehandling av denne saken. Begrunnelsen er delvis at saken allerede er under behandling i Arbeids- og velferdsdirektoratet.

Datatilsynet har kalt sitt vedtak «avvisning» av saken. Tilsynet bemerker imidlertid at ved behandling av personopplysninger må man ha et rettslig grunnlag og at Lotteri- og stiftelsestilsynet, ved tilsyn av stiftelser, kan behandle personopplysninger innenfor bestemmelsene i stiftelsesloven. Tilsynet redegjør for at NAV har konkludert med at behandlingen av personopplysninger har skjedd i tråd med tilgangsvedtaket og loven og Datatilsynet finner ikke grunn til å overprøve NAV sin vurdering i saken.

5 Personvernnemndas syn

Lotteri- og stiftelsestilsynet behandler personopplysninger i forbindelse med at det utfører sine oppgaver etter stiftelsesloven, jf. stiftelsesloven § 7 og personopplysningsloven § 8 bokstav e, jf. eventuelt også § 9 bokstav b (i den grad det dreier seg om sensitive opplysninger). Lotteri- og stiftelsestilsynet har fått tilgang til opplysninger fra Aa-registeret og Folkeregisteret etter søknad til henholdsvis NAV og Skattedirektoratet og har benyttet disse opplysningene i sin utarbeidelse av tilsynsrapport for Stiftelsen romanifolkets/taternes kulturfond.

Datatilsynets mandat og oppgaver følger av personopplysningsloven § 42.  I følge bestemmelsens tredje ledd, nummer tre, skal Datatilsynet «kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet». I samme ledd, nummer to, fremgår det at Datatilsynet skal «vurdere om det skal gis pålegg der loven gir hjemmel for dette». Det innebærer, slik Personvernnemnda ser det, at Datatilsynet er gitt en skjønnsmessig adgang til å vurdere om det, ut fra hensynet til personvernet, skal gis pålegg for å sikre at behandlingen av personopplysninger skjer i tråd med de lover og regler som gjelder. Med hjemmel i personopplysningsloven § 46 fjerde ledd kan Datatilsynet gi pålegg når behandlingen av personopplysninger skjer i strid med loven. Det innebærer at de også kan velge ikke å gi pålegg, der de mener det ikke foreligger tilstrekkelige grunn til det. Forutsatt at Datatilsynets skjønn er forsvarlig og ikke medfører en vilkårlig forskjellsbehandling, har de etter loven en relativt vid adgang til å vurdere om de vil gi pålegg eller ikke.

I dette tilfellet har Datatilsynet besluttet at de ikke vil gi pålegg etter personopplysningsloven § 46 fjerde ledd. Det er, slik Personvernnemnda ser det, misvisende å kalle dette «avvisning». Det faller åpenbart innenfor Datatilsynets plikter etter loven å ta stilling til om den aktuelle behandlingen av personopplysninger har vært lovlig eller ikke, og det foreligger ingen formelle eller prosessuelle grunner til at Datatilsynet ikke skal behandle saken. Nemnda er enig med klagerne i at Datatilsynet også har foretatt en realitetsvurdering av klagen når de har kommet til at det ikke er grunn til å overprøve NAV sin vurdering av at behandlingen av personopplysninger er lovlig.

Personvernnemnda legger til grunn at Datatilsynet som tilsynsmyndighet etter personopplysningsloven, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. En slik prioritering forutsetter at Datatilsynet i det aktuelle tilfellet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst, jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse med hensyn til hvor grundig de vurderer lovligheten av den aktuelle behandlingen av personopplysninger fremstår forsvarlig. Ved denne forsvarlighetsvurderingen vil personvernhensyn være sentralt jf. lovens formål i § 1.

Personvernnemda finner, under noe tvil, at Datatilsynets behandling av denne saken er tilstrekkelig og forsvarlig. Det er også av betydning for nemndas vurdering at den behandlingen av personopplysninger som har skjedd hos Lotteri- og stiftelsestilsynet er regulert i lov og i vedtak fra andre myndigheter, og at saken har vært klaget inn til disse fagmyndighetene som har funnet at behandlingen har vært lovlig.

Det må etter dette legges til grunn at behandlingen av personopplysningene i foreliggende sak har skjedd i samsvar med loven, og følgelig har heller ikke Datatilsynet hatt foranledning til å vurdere spørsmålet om det skal gis pålegg.

Klagen har etter dette ikke ført frem.

6 Vedtak

Klagen tas ikke til følge.

 

 

Oslo, 25. september 2017

Mari Bø Haugstad
Leder