Personvernnemndas vedtak 28. mai 2024 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin, Malin Tønseth)
Saken gjelder klage fra A på Datatilsynets avgjørelse 2. mai 2023 om å avslutte en klagesak mot arbeidsgiverens samarbeidspartner. Avslutningen ble begrunnet med at klagen ville bli behandlet som en del av hovedsaken som gjaldt klage på arbeidsgiverens innsyn i As e-postkasse.
Sakens bakgrunn
I 2020 fikk arbeidsgiver mistanke om at en ansatt i selskapet hadde begått underslag og gjennomførte innsyn i vedkommende ansattes e-postkasse. Etter funn av e-postutvekslinger mellom vedkommende ansatt og A, mistenkte arbeidsgiver at A kunne ha medvirket til et eventuelt underslag, samt at hun hadde spredd taushetsbelagt informasjon. Det ble derfor også gjennomført innsyn i hennes e-postkasse.
Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra B, som ekstern samarbeidspartner, og C, som databehandler for arbeidsgiver.
A ble oppsagt. Oppsigelsen var blant annet begrunnet i at A hadde brutt lojalitetsplikten i arbeidsforhold ved å dele innsideinformasjon og annen fortrolig informasjon. Dette ble avdekket i det gjennomførte innsynet i hennes e-postkasse.
A klaget til Datatilsynet 12. juli 2020 på arbeidsgivers innsyn i hennes e-postkasse. Hun klaget på manglende rettslig grunnlag for innsynet, på gjennomføringen av innsynet og på arbeidsgivers utlevering av personopplysninger.
A reiste høsten 2020 også søksmål mot arbeidsgiver ved domstolene med påstand om at oppsigelsen var ugyldig, samt krevde erstatning og oppreisning. I likhet med tingretten kom lagmannsretten i dom […] 2022 til at oppsigelsen var gyldig, og at det derfor ikke var grunnlag for erstatning etter arbeidsmiljøloven, men at reglene for innsyn i ansattes e-post var brutt, slik at det var grunnlag for oppreisningserstatning etter personopplysningsloven. Oppreisningserstatningen etter personopplysningsloven § 30 ble satt til 20 000 kroner. As anke over lagmannsrettens dom ble ikke tillat fremmet for Høyesterett.
Mens Datatilsynet fortsatt hadde til behandling klagen fra A vedrørende arbeidsgivers innsyn i hennes e-postkasse, sendte A ytterligere to klager i samme sak. Den første av disse sendte A 2. mai 2021. Den var rettet mot C som var databehandler for arbeidsgiver i forbindelse med det gjennomførte innsynet i hennes e-postkasse (PVN-2023-17). Den andre klagen sendte A 13. mars 2023. Den er rettet mot B, som er en ekstern samarbeidspartner som bisto arbeidsgiveren i å gjennomføre innsynet i tillegg til databehandleren.
I brev til A 2. mai 2023 avsluttet Datatilsynet saken mot B og viste til at de innklagede forholdene mest hensiktsmessig ville bli behandlet sammen med klagen mot arbeidsgiver.
A klaget 22. mai 2023 på Datatilsynets avslutning av saken.
Datatilsynet behandlet klagen og opprettholdt sin avgjørelse. Saken ble oversendt Personvernnemnda 29. juni 2023, mens klagen over arbeidsgivers innsyn i As e-postkasse fortsatt var til vurdering hos tilsynet. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med kommentarer. A har gitt sine kommentarer i e-post og brev 20. august 2023 og i e-poster 19. oktober 2023 og 11. april 2024. I e-poster fra nemnda 2. januar og 12. mars 2024 ble A orientert om forlenget saksbehandlingstid. Nemnda har ikke funnet det nødvendig å involvere B i klagesaken.
I saken som gjaldt arbeidsgiver (behandlingsansvarlig) traff Datatilsynet slikt vedtak 5. september 2023:
«1. Datatilsynet fatter vedtak om irettesettelse mot [arbeidsgiver] for brudd på:
a. Personvernforordningen artikkel 5 nr. 2 (ansvarlighetsprinsippet), ved manglende vurdering av rettslig grunnlag ved behandling av klagers personopplysninger,
b. Personvernforordningen artikkel 5 nr. 1 bokstav c (dataminimeringsprinsippet), ved å behandle flere personopplysninger om klager enn det som var nødvendig for formålet, og
c. Personvernforordningen artikkel 5 nr. 1 bokstav a (åpenhetsprinsippet), artikkel 13 og 14 (informasjonsplikten), og e-postforskriften § 3, ved manglende informasjon, forhåndsvarsel og mangelfull etterfølgende orientering.
d. Personvernforordningen artikkel 6 nr. 1 bokstav f, ved å utlevere klagers personopplysninger til ekstern part uten rettslig grunnlag.
2. Med hjemmel i personvernforordningen art. 58 nr. 2 bokstav d pålegges [arbeidsgiver] å utbedre internkontroll og rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale, jf. personvernforordningen artikkel 24.»
Den eksterne parten som det vises til i vedtakets punkt 1 d, er B.
Datatilsynets vedtak vedrørende den behandlingsansvarlige ble påklaget og oversendt Personvernnemnda 4. januar 2024. Saken er behandlet av nemnda i PVN-2024-01.
Foreliggende sak ble behandlet i nemndas møte 28. mai 2024. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin, Hans Marius Tessem og Malin Tønseth. Utredningsleder Anette Klem Funderud og førstekonsulent Emilie Winther Løvli var også til stede.
Datatilsynets vurdering i korte trekk
Datatilsynet viser til at A allerede har en pågående sak mot arbeidsgiver og anser det mest hensiktsmessig å vurdere foreliggende sak i sammenheng med den saken. Datatilsynet avslutter saken på det grunnlaget.
Datatilsynet opplyser også at tilsynet ikke er rett myndighet til å ta stilling til et krav om erstatning, og at et eventuelt erstatningskrav må bringes inn for domstolene.
I oversendelsesbrevet til Personvernnemnda 29. juni 2023 opplyser Datatilsynet at beslutningen 2. mai 2023 om ikke å undersøke saken nærmere er hjemlet i personvernforordningen artikkel 57 nr. 1 bokstav f.
As syn på saken i korte trekk
En beslutning om å avslutte en sak er en avgjørelse som kan påklages.
Datatilsynets hovedoppgave er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med personopplysningsregelverket.
Uten en dokumentert instruks er B å anse som en behandlingsansvarlig i henhold til GDPR artikkel 28 (10). B har ikke oppfylt sine plikter som behandlingsansvarlig.
I henhold til GDPR artikkel 26 (3), kan hun utøve sine rettigheter i henhold til denne forordning med hensyn til og overfor hver av de behandlingsansvarlige.
Når hun utøver sine rettigheter, er Datatilsynet i henhold til personvernforordningen pliktige til å behandle klagen overfor hver av de behandlingsansvarlige, ref. GDPR artikkel 51 (2), 52 (3), 57, 58, 63, 77, 78 og 79.
Hun forventer at vedtaket omgjøres.
Personvernnemndas vurdering
Datatilsynets oppgaver følger av personvernforordningen artikkel 57. Datatilsynet skal etter bestemmelsen behandle en klage som er inngitt av en registrert og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, jf. personvernforordningen artikkel 57 nr. 1 bokstav f.
Den registrertes rett til å klage til en tilsynsmyndighet følger av artikkel 77 nr. 1:
«Uten at det berører annen administrativ eller rettslig prøving, skal enhver registrert ha rett til å klage til en tilsynsmyndighet, særlig i den medlemsstat der vedkommende har sitt vanlige bosted, har sitt arbeidssted eller der den påståtte overtredelsen har funnet sted, dersom den registrerte anser at behandlingen av personopplysninger som gjelder vedkommende, er i strid med denne forordning.»
Denne saken gjelder behandlingen av As personopplysninger i forbindelse med en oppsigelssak hvor arbeidsgiver hadde gjennomført innsyn i As e-postkasse, med bistand fra blant annet B, som en ekstern samarbeidspartner. Da Datatilsynet i brev 2. mai 2023 orienterte A om at de avsluttet denne saken, orienterte tilsynet samtidig om at de forholdene B var klaget inn for ville bli behandlet sammen med «hovedsaken» som gjaldt klagen mot arbeidsgiveren. Dette er fulgt opp av Datatilsynet i tilsynets vedtak mot arbeidsgiveren 5. september 2023.
I det vedtaket kom Datatilsynet til at B, som bistod arbeidsgiveren under gjennomføringen av innsynet, ikke kunne anses som arbeidsgiverens databehandler etter artikkel 28, men måtte vurderes som en ekstern aktør som gjennomførte innsynet og dermed fikk utlevert As personopplysninger. Datatilsynet drøfter det rettslige grunnlaget for dette og kommer til at arbeidsgiver hadde «berettigede interesser» for å utlevere personopplysningene til B, men at slik utlevering ikke var nødvendig og at hensynet til A interesser måtte veie tyngre enn arbeidsgivers berettigede interesser. Datatilsynet konkluderte med at arbeidsgiver dermed utleverte As personopplysninger til B uten rettslig grunnlag i artikkel 6 nr. 1 bokstav f. For dette ble arbeidsgiver ilagt en irettesettelse, jf. personvernforordningen artikkel 58 nr. 2 bokstav b.
A har etter artikkel 77 rett til å klage til en tilsynsmyndighet dersom hun «anser at behandlingen av personopplysninger som gjelder vedkommende, er i strid med denne forordning». Det har hun fått anledning til, ved at Bs rolle og hans behandling av As personopplysninger er vurdert av Datatilsynet i saken mot arbeidsgiveren, se PVN-2024-01.
Det må ligge innenfor Datatilsynets hensiktsmessighetsskjønn å ta stilling til om en klage mot ulike aktører (behandlingsansvarlig, databehandler eller andre samarbeidspartnere) skal behandles samlet i én sak eller om klagen skal behandles i flere saker. Dette er ikke et forhold som kan styres av den registrerte.
Nemnda bemerker for ordens skyld at Datatilsynets kommentar i oversendelsesbrevet om at avgjørelsen 2. mai 2023 er hjemlet i personvernforordningen artikkel 57 nr. 1 bokstav f må bero på en misforståelse. Det er ikke slik at Datatilsynet i dette tilfellet unnlater å undersøke en sak med hjemmel i denne bestemmelsen, jf. ordlyden «undersøke, i den grad det er hensiktsmessig». Grunnlaget for avvisning av klagen er at Datatilsynet har truffet en prosessledende beslutning om at klagen mot arbeidsgiver og klagen mot B behandles i samme sak. Det er ikke et vedtak som kan påklages.
As klage skal etter dette avvises.
Vedtaket er enstemmig.
Konklusjon
Klagen avvises.
Oslo, 28. mai 2024
Mari Bø Haugstad
Leder