Personvernnemndas vedtak 28. mai 2024 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin, Malin Tønseth)
Saken gjelder klage fra A på Datatilsynets avgjørelse 28. november 2022 om å avslutte en klagesak mot en databehandler uten nærmere undersøkelser, under henvisning til at tilsynet behandlet klage mot den behandlingsansvarlige.
Sakens bakgrunn
I 2020 fikk arbeidsgiver mistanke om at en ansatt i selskapet hadde begått underslag og gjennomførte innsyn i vedkommende ansattes e-postkasse. Etter funn av e-postutvekslinger mellom vedkommende ansatt og A, mistenkte arbeidsgiver at A kunne ha medvirket til et eventuelt underslag, samt at hun hadde spredd taushetsbelagt informasjon. Det ble derfor også gjennomført innsyn i hennes e-postkasse.
Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra B, som ekstern samarbeidspartner, og C, som databehandler for arbeidsgiver.
A ble oppsagt. Oppsigelsen var blant annet begrunnet i at A hadde brutt lojalitetsplikten i arbeidsforhold ved å dele innsideinformasjon og annen fortrolig informasjon. Dette ble avdekket i det gjennomførte innsynet i hennes e-postkasse.
A klaget til Datatilsynet 12. juli 2020 på arbeidsgivers innsyn i hennes e-postkasse. Hun klaget på manglende rettslig grunnlag for innsynet, på gjennomføringen av innsynet og på arbeidsgivers utlevering av personopplysninger.
A reiste høsten 2020 også søksmål mot arbeidsgiver ved domstolene med påstand om at oppsigelsen var ugyldig, samt krevde erstatning og oppreisning. I likhet med tingretten kom lagmannsretten i dom avsagt […] 2022 til at oppsigelsen var gyldig, og at det derfor ikke var grunnlag for erstatning etter arbeidsmiljøloven, men at reglene for innsyn i ansattes e-post var brutt, slik at det var grunnlag for oppreisningserstatning etter personopplysningsloven. Oppreisningserstatningen etter personopplysningsloven § 30 ble satt til 20 000 kroner. As anke over lagmannsrettens dom ble ikke tillat fremmet for Høyesterett.
Mens Datatilsynet fortsatt hadde til behandling klagen fra A vedrørende arbeidsgivers innsyn i e-post, sendte A 2. mai 2021 en ny klage i samme sak. Klagen var rettet mot C, som er det firmaet som bisto arbeidsgiveren i å gjennomføre innsynet i As e-postkasse. Datatilsynet la til grunn at C var databehandler og at selskapet behandlet opplysningene om A på vegne av den behandlingsansvarlige (arbeidsgiver).
I saken som gjaldt arbeidsgiver (behandlingsansvarlig) traff Datatilsynet slikt vedtak 5. september 2023:
«1. Datatilsynet fatter vedtak om irettesettelse mot [arbeidsgiver], for brudd på:
a. Personvernforordningen artikkel 5 nr. 2 (ansvarlighetsprinsippet), ved manglende vurdering av rettslig grunnlag ved behandling av klagers personopplysninger,
b. Personvernforordningen artikkel 5 nr. 1 bokstav c (dataminimeringsprinsippet), ved å behandle flere personopplysninger om klager enn det som var nødvendig for formålet, og
c. Personvernforordningen artikkel 5 nr. 1 bokstav a (åpenhetsprinsippet), artikkel 13 og 14 (informasjonsplikten), og e-postforskriften § 3, ved manglende informasjon, forhåndsvarsel og mangelfull etterfølgende orientering.
d. Personvernforordningen artikkel 6 nr. 1 bokstav f, ved å utlevere klagers personopplysninger til ekstern part uten rettslig grunnlag.
2. Med hjemmel i personvernforordningen art. 58 nr. 2 bokstav d pålegges [arbeidsgiver] å utbedre internkontroll og rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale, jf. personvernforordningen artikkel 24.»
Den eksterne parten som det vises til i vedtakets punkt 1 d, er B.
Datatilsynets vedtak vedrørende den behandlingsansvarlige (arbeidsgiver) er påklaget og behandlet av nemnda i PVN-2024-01.
Under henvising til at det er den behandlingsansvarlige som er ansvarlig for å overholde pliktene som følger av personvernforordningen, jf. artikkel 5 nr. 2, og Datatilsynet allerede behandlet en klage mot den behandlingsansvarlige for den samme behandlingen av personopplysninger, avsluttet Datatilsynet saken i brev til A 28. november 2022, uten å gjøre nærmere undersøkelser og uten å ta stilling til realiteten. I brevet skriver Datatilsynet at beslutningen om å avslutte saken ikke er et enkeltvedtak og at beslutningen derfor ikke kunne påklages.
A klaget likevel på Datatilsynets avgjørelse om å avslutte saken 18. desember 2022. Datatilsynet behandlet klagen og opprettholdt sin avgjørelse.
Saken ble oversendt Personvernnemnda 26. juni 2023. A ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med kommentarer. A har gitt sine kommentarer i e-poster 19. oktober 2023 og 11. april 2024. I e-poster fra nemnda 2. januar og 12. mars 2024 ble A orientert om forlenget saksbehandlingstid. C er kjent med klagen og nemnda har ikke funnet det nødvendig å innhente noen uttalelse fra C.
Saken ble behandlet i nemndas møte 28. mai 2024. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin, Hans Marius Tessem og Malin Tønseth. Utredningsleder Anette Klem Funderud og førstekonsulent Emilie Winther Løvli var også til stede.
Datatilsynets vurdering i korte trekk
Datatilsynet skal etter personvernforordningen artikkel 57 nr. 1 bokstav f behandle og undersøke klager i den grad det er hensiktsmessig. Tilsynet vurderer hvilke nærmere undersøkelser saken krever, blant annet ut fra hvor alvorlig et eventuelt lovbrudd vil være.
As henvendelse er behandlet og tilsynet har kommet til at det ikke er hensiktsmessig å prioritere nærmere undersøkelser overfor C. Datatilsynet mener at et eventuelt brudd på personvernregelverket i saken neppe vil føre til at tilsynet ilegger korrigerende tiltak. I sin vurdering viser Datatilsynet til at C i denne saken har handlet som databehandler for behandlingsansvarlig (arbeidsgiver), og at tilsynet har opprettet en separat klagesak mot arbeidsgiver, om samme forhold, etter klage fra A.
I oversendelsesbrevet til Personvernnemnda 26. juni 2023 påpeker Datatilsynet at det er den behandlingsansvarlige som er ansvarlig for å overholde pliktene som følger av personvernforordningen, jf. artikkel 5 nr. 2. Datatilsynet opprettholder sin avgjørelse og viser til at de aktuelle rettslige spørsmålene i saken allerede behandles i saken mot den behandlingsansvarlige.
As syn på saken i korte trekk
En beslutning om å avslutte en sak er en avgjørelse som kan påklages.
Det fremgår ikke av artikkel 58 nr. 1 bokstav a og e at Datatilsynet kan avvise en sak mot en databehandler hvis det foreligger en sak mot den behandlingsansvarlige. Både databehandleren og den behandlingsansvarlige plikter etter bestemmelsen å legge frem nødvendig informasjon.
Datatilsynet er i henhold til artiklene 52, 57 og 58 pliktige til å undersøke og behandle alle saker i full uavhengighet av hverandre, uavhengig av klagesaken mot arbeidsgiver og rettskraftig dom knyttet til oppsigelsessaken mot arbeidsgiver.
Som det fremgår i dom fra lagmannsretten mangler det i forbindelse med C sin bistand i innsynene i e-postkassen både interne prosedyrer (ikke fremlagt), protokoll (foreligger ikke), oversikt og fremleggelse av åpnede e-poster (hundrevis av åpnede e-poster ikke fremlagt).
Innsynet i e-postkassene med bistand fra C er dokumenterte brudd på e-postforskriften og personvernforordningen artikkel 5 nr. 1 bokstav a og c, og nr. 2, artikkel 6 nr. 4, artikkel 15 nr. 1, artikkel 28 nr. 3 bokstav a, artikkel 29, artikkel 30 nr. 2, 3 og 4, artikkel 32 etc.
Det følger av personvernforordningen § 28 nr. 3 bokstav a og artikkel 29 at databehandleren kun skal behandle personopplysninger basert på dokumentert instruks fra den behandlingsansvarlige. C og arbeidsgiver ønsker ikke å framlegge instruksen fordi den vil dokumentere at erklæringene fra C i tilknytning til innsynene ikke stemmer med instruksen.
C har ikke framlagt skriftlige protokoller for innsynene i e-postkasse slik databehandleren plikter å gjøre etter artikkel 30, noe lagmannsretten også la til grunn i sin behandling. Når denne protokollen ikke foreligger, er dette et dokumentert brudd på artikkel 30. Datatilsynet overser her både faktisk og rettslig årsakssammenheng. Det fremstår som uforståelig at Datatilsynet ikke ønsker protokollen fremlagt og overser bruddet på artikkel 30.
Datatilsynet har ikke behandlet denne saken i henhold til artiklene 52, 57, 58, 77 og 78.
Personvernnemndas vurdering
Nemnda forstår Datatilsynets avgjørelse om ikke å gjøre nærmere undersøkelser i saken, som et vedtak om avvisning. En avgjørelse om ikke å ta en sak til behandling er et vedtak om avvisning. Forvaltningsloven slår eksplisitt fast at avvisning er et enkeltvedtak, jf. § 2 tredje ledd. Enkeltvedtak kan påklages, jf. forvaltningsloven § 28.
Datatilsynets oppgaver følger av personvernforordningen artikkel 57. Datatilsynet skal etter bestemmelsen behandle en klage som er inngitt av en registrert og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, jf. personvernforordningen artikkel 57 nr. 1 bokstav f.
Den registrertes rett til å klage til en tilsynsmyndighet følger av artikkel 77 nr. 1:
«Uten at det berører annen administrativ eller rettslig prøving, skal enhver registrert ha rett til å klage til en tilsynsmyndighet, særlig i den medlemsstat der vedkommende har sitt vanlige bosted, har sitt arbeidssted eller der den påståtte overtredelsen har funnet sted, dersom den registrerte anser at behandlingen av personopplysninger som gjelder vedkommende, er i strid med denne forordning.»
Denne saken gjelder behandlingen av As personopplysninger i forbindelse med en oppsigelssak hvor arbeidsgiver hadde gjennomført innsyn i As e-postkasse. I klagesaken mot As arbeidsgiver, som behandlingsansvarlig for det gjennomførte innsynet, traff Datatilsynet vedtak om irettesettelse for manglende overholdelse av prosedyrereglene for innsyn i arbeidstakers e-post. I og med at det var C, som databehandler, som gjennomførte det aktuelle innsynet på vegne av arbeidsgiver, er de rettslige vurderingene angående gjennomføringen av innsynet allerede foretatt i saken mot den behandlingsansvarlige.
A har etter artikkel 77 rett til å klage til en tilsynsmyndighet dersom hun «anser at behandlingen av personopplysninger som gjelder vedkommende, er i strid med denne forordning». Det har hun fått anledning til gjennom klagen mot den behandlingsansvarlige (PVN-2024-01).
Nemnda er enig med Datatilsynet i at det er den behandlingsansvarlige som er ansvarlig for å overholde pliktene som følger av personvernforordningen, jf. artikkel 5 nr. 2. Når Datatilsynet, som her, konstaterer at den behandlingsansvarlige har brutt personvernforordningen i forbindelse med innsyn i e-postkassen til en arbeidstaker, er det opp til Datatilsynet å vurdere om dette er noe som også foranlediger korrigerende tiltak overfor databehandleren eller andre samarbeidspartnere til den behandlingsansvarlige. At Datatilsynet ikke har funnet det nødvendig eller hensiktsmessig å ilegge databehandleren et korrigerende tiltak er ikke en avgjørelse som retter seg mot A og er heller ikke bestemmende for hennes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a.
Nemnda legger, som Datatilsynet, til grunn at de aktuelle rettslige spørsmålene i foreliggende sak allerede er behandlet i saken mot den behandlingsansvarlige, jf. PVN-2024-01. En ny klage om den samme behandlingen kan da avvises.
A får ikke medhold i sin klage.
Vedtaket er enstemmig.
Konklusjon
Datatilsynets avvisning av As klage opprettholdes.
Oslo, 28. mai 2024
Mari Bø Haugstad
Leder