Home
ANONYMISERT VERSJON

PVN-2023-23 Klage over Datatilsynets avgjørelse om å avslutte sak uten å gi pålegg – behandling av personopplysninger hos NAV

Datatilsynets referanse: 
22/05273-4

Personvernnemndas vedtak 6. februar 2024 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin, Malin Tønseth og Hans Marius Tessem)

Saken gjelder klage fra A på Datatilsynets avgjørelse 7. juni 2023 om å avslutte sak om ulovlig behandling av personopplysninger hos NAV, uten å gi pålegg.

Sakens bakgrunn

A henvendte seg til Datatilsynet 23. april 2023 og klaget over uberettiget snoking i hans personopplysninger fra en ansatt hos NAV. Som vedlegg til klagen fulgte brevkorrespondanse med NAV etter at As begjæring om innsyn i logger hos NAV hadde avdekket oppslag i hans personopplysninger fra en NAV-ansatt uten tjenstlig behov for innsyn.

I brev til A 7. juni 2023 avsluttet Datatilsynet saken uten å ta stilling til om NAV hadde brutt personopplysningsloven og uten å vurdere eventuelt korrigerende tiltak. Datatilsynet opplyste at de hadde behandlet As henvendelse, men hadde besluttet ikke å gjøre nærmere undersøkelser i saken. I brevet opplyste Datatilsynet at beslutningen om ikke å gjøre nærmere undersøkelser var et enkeltvedtak som kunne påklages til Personvernnemnda.

A klaget på Datatilsynets avslutning av saken 12. juni 2023.

Datatilsynet behandlet klagen og opprettholdt sin avgjørelse om ikke å gjøre nærmere undersøkelser.

Saken ble oversendt Personvernnemnda 20. september 2023. A ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med kommentarer. Nemnda har ikke mottatt ytterligere kommentarer.

Saken ble behandlet i nemndas møte 6. februar 2024. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin, Hans Marius Tessem og Malin Tønseth. Utredningsleder Anette Klem Funderud var også til stede.

Datatilsynets vurdering i korte trekk

Datatilsynet skal etter personvernforordningen artikkel 57 nr. 1 bokstav f behandle og undersøke klager i den grad det er hensiktsmessig. Tilsynet vurderer hvilke nærmere undersøkelser saken krever, blant annet ut fra hvor alvorlig et eventuelt lovbrudd vil være.

As henvendelse er behandlet og tilsynet har kommet til at det ikke er hensiktsmessig å gjøre nærmere undersøkelser.

Datatilsynet kan ikke vurdere lovligheten av enkeltoppslag i journaler hos NAV. Dette beror på om den som gjorde oppslaget hadde en saklig grunn til det. En slik vurdering må ta utgangspunkt i den ansattes arbeidsoppgaver. Det er NAV som kjenner den ansattes arbeidsoppgaver, og følgelig er det NAV som må vurdere om oppslagene var saklige. Videre er det slik at usaklige oppslag anses som brudd på reglene om taushetsplikt i forvaltningsloven. Dersom A mener at taushetsplikten til NAV-ansatte er brutt, må dette eventuelt klages inn til NAV eller via domstolene. Datatilsynet er ikke rett myndighet til å håndheve regelverket knyttet til offentlig ansattes taushetsplikt.

Datatilsynet opplyser at NAV-brukeres personvernrettigheter er et tema Datatilsynet er opptatt av, og at tilsynet følger opp NAV sentralt på områder som loggkontroll og styring av tilgang til personopplysninger. Tilsynet viser til at de tar med seg informasjonen fra A inn i dette arbeidet.

As syn på saken i korte trekk

A ønsker å klage på at Datatilsynet ikke tar hans sak til behandling.

Det er sannsynlig at det foreligger brudd på loven i og med at NAV, i brev som han har lagt ved klagen, har innrømmet at det er avdekket ulovlige oppslag i hans saker.

A antar at NAV ville tatt saken alvorlig dersom Datatilsynet hadde tatt kontakt og gjort nærmere undersøkelser.

NAV har allerede innrømmet uberettiget oppslag i hans personopplysninger og brudd på taushetsplikten. Han er bekymret for den likegyldige måten NAV håndterte personvernbruddet på.

Bakgrunnen for at han sendte inn klagen var en oppfordring fra tilsynets informasjonstjeneste. Han forklarte nøye på telefonen hva saken dreide seg om og ble bedt om å sende dette inn som en skriftlig henvendelse.

Personvernnemndas vurdering

NAV kan behandle opplysninger om sine brukere med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav c (rettslig forpliktelse), artikkel 6 nr. 1 bokstav e (utøve offentlig myndighet), samt artikkel 9 nr. 2 bokstav b (oppfylle sine forpliktelser på området sosialrett), i den grad dette er tillatt i henhold til nasjonal rett.

Datatilsynets oppgaver følger av personvernforordningen artikkel 57. Datatilsynet skal etter bestemmelsen behandle en klage som er inngitt av en registrert og undersøke, i den grad det er hensiktsmessig, klagens gjenstand, samt underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, jf. personvernforordningen artikkel 57 nr. 1 bokstav f.

Nemnda har i en rekke saker lagt til grunn at tilsynet har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever. Det ligger imidlertid ikke i dette at Datatilsynet fritt kan velge hvilke klager de skal ta til behandling og hvilke de velger ikke å behandle. Nemnda har lagt til grunn at Datatilsynet i utgangspunktet plikter å behandle og ta stilling til om personopplysningsloven er brutt når de mottar en klage etter artikkel 77, men at loven åpner for en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig.

I tilfeller hvor Datatilsynet har avsluttet en sak uten å ta stilling til om personopplysningsloven er brutt, har Personvernnemnda i sin praksis lagt til grunn at avgjørelsen må vurderes som et vedtak om avvisning, som kan påklages etter forvaltningsloven. I og med at artikkel 77 etter nemndas vurdering pålegger Datatilsynet en plikt til å behandle klager, har slike vedtak blitt opphevet og saken blitt returnert til Datatilsynet for ny behandling.

I denne saken har Datatilsynet ikke funnet det hensiktsmessig å gjøre ytterligere undersøkelser, og har avsluttet saken uten å ta stilling til om personopplysningsloven er brutt. Tilsynet har i brevet til A vist til en mer omfattende undersøkelsessak som omfatter loggkontroll og styring av tilgang til personopplysninger hos NAV. Datatilsynet skriver at informasjonen fra A tas med inn i arbeidet med den saken, uten at det redegjøres nærmere for sammenhengen mellom disse.

Personvernforordningen skal sikre både individuelle rettigheter og den behandlingsansvarliges generelle etterlevelse av personvernreglene. Nemnda har tidligere i noen tilfeller kommet til at det har vært forsvarlig av Datatilsynet ikke å forfølge en henvendelse fra en registrert som en egen sak, men la klagen inngå i en bredere anlagt tilsynssak mot en behandlingsansvarlig. I den bredere anlagte tilsynssaken vil enkeltregistrerte ikke ha rettigheter som parter, se som eksempel PVN-2022-12.

Nemnda har i dette tilfellet ikke funnet det hensiktsmessig å returnere saken til Datatilsynet for at tilsynet skal ta stilling til om loven er brutt. Nemnda har lagt vekt på at saken ikke handler om hvorvidt en behandlingsansvarlig har gyldig behandlingsgrunnlag for sin behandling av personopplysninger eller ikke, men om hvorvidt en ansatt hos den behandlingsansvarlige har saklig grunn for sitt oppslag i en journal hos NAV.

NAV selv har konkludert med at det har skjedd oppslag i opplysninger om A som ikke er begrunnet i tjenstlig behov, og som dermed representerer et brudd på NAVs interne retningslinjer. Dersom dette også skal medføre et brudd på personopplysningsloven, må tilsvarende funn gjøres i et slikt omfang at man som følge av dette kan konkludere med at det skyldes mangelfulle tekniske og organisatoriske tiltak hos den behandlingsansvarlige, jf. personvernforordningen artikkel 24 og 25, samt representerer et brudd på de generelle prinsippene for behandling av personopplysninger i artikkel 5. Enkelttilfeller av «unødvendige» oppslag medfører ikke nødvendigvis at den behandlingsansvarlige har brutt personvernforordningen artikkel 24 og 25 slik at det kan lede til «korrigerende tiltak», jf. personvernforordningen artikkel 58 nr. 2.

Datatilsynet gjennomførte høsten 2023 et tilsyn hos NAV og det er omtalt både i media og på Datatilsynets hjemmeside at tilsynet har sendt NAV et varsel om vedtak som innebærer flere pålegg om å rette opp brudd på informasjonssikkerheten. Det varsles samtidig om ileggelse av et gebyr på 20 millioner kroner for brudd på loven. En av de sentrale manglene Datatilsynet påpeker i sitt varsel er mangel på «en helhetlig og egnet systematikk for organisatoriske tiltak knyttet til tilgangsstyring», noe som kan være en sannsynlig årsak til det påpekte oppslaget uten tjenstlig behov i denne saken.

Selv om Datatilsynet foreløpig bare har sendt forhåndsvarsel om vedtak, jf. forvaltningsloven § 16 og saken dermed ikke er avsluttet hos tilsynet, så er de undersøkelsene tilsynet har gjort i den omfattende tilsynssaken mer egnet som grunnlag for å treffe vedtak om brudd på loven og en vurdering av eventuelle korrigerende tiltak for dette, enn ett enkelttilfelle av ubegrunnet oppslag i opplysninger som denne saken gjelder. I et slikt tilfelle er det lite hensiktsmessig å returnere saken til Datatilsynet for å be om at tilsynet tar stilling i denne enkeltsaken.

Datatilsynets avgjørelse om å avslutte saken uten ytterligere undersøkelser opprettholdes.

Vedtaket er enstemmig.

Vedtak

Datatilsynets avgjørelse opprettholdes.

Oslo, 6. februar 2024

Mari Bø Haugstad
Leder