Personvernnemndas vedtak 18. juni 2024 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin, Malin Tønseth)
Saken gjelder klage fra A 20. januar 2023 på Datatilsynets avvisning av hennes klage over Datatilsynets vedtak 30. september 2022 om irettesettelse mot en kommune for brudd på personopplysningssikkerheten. Det er også truffet andre vedtak i saken som gjelder innhenting, utlevering og bruk av straffesaksdokumenter i en sivil sak for domstolene. Også disse vedtakene omtales nærmere nedenfor.
Sakens bakgrunn
Kommunen meldte om brudd på personopplysningssikkerheten til Datatilsynet 10. desember 2021, jf. personvernforordningen artikkel 33. Kommunen hadde publisert en dom på kommunens nettside og deler av innholdet i dommen, samt administrasjonens vurderinger av den, ble videreformidlet i et informasjonsskriv til 230 ansatte og til vitner i rettssaken. Rettssaken gjaldt krav om erstatning fra en tidligere ansatt (A) på grunn av ulovlig gjengjeldelse etter varsling om kritikkverdige forhold. Dommen ble publisert usladdet til tross for beslutning fra retten om at dommen bare kunne gjengis offentlig i anonymisert form. Dommen omtalte en rekke personlige forhold om A og hennes familie, herunder helseopplysninger.
Kommunen orienterte ikke A om bruddet. Hun ble oppmerksom på dette etter å ha blitt kontaktet av en journalist. Datatilsynet mottok deretter 9. februar 2022 også en klage fra A.
Datatilsynet ba i brev 1. mars 2022 kommunen om å redegjøre for saken. Kommunen ga slik redegjørelse 28. april 2022.
A sendte inn en ny klage 30. mars 2022. Klagen gjaldt kommunens innhenting av og fremleggelse for retten av dokumenter i forbindelse med den omtalte rettssaken. Dokumentene hun anførte var ulovlig innhentet og brukt, var straffesaksdokumenter og en journal fra familievernkontoret.
Datatilsynet varslet kommunen 22. august 2022 om at tilsynet ville fatte vedtak om irettesettelse til kommunen for brudd på personvernforordningen artikkel 32 nr. 1 bokstav b og artikkel 5 og 6, jf. forvaltningsloven § 16. Varselet om irettesettelse var knyttet til kommunens publisering m.m. av den usladdede dommen og omhandlet ikke kommunens innhenting og fremleggelse av dokumenter under rettssaken.
A sendte en ny henvendelse til Datatilsynet 5. september 2022 hvor hun ba om at Datatilsynet delte den resterende saken i to, slik at det var én klage mot kommunen og en klage mot et politidistrikt. Henvendelsen inneholdt to «reviderte» klager der den ene delen av klagen gjaldt politidistriktet og den andre kommunen.
Den 6. september 2022 traff Datatilsynet vedtak om «de andre innmeldte klagene» fra A. Datatilsynet omtaler utleveringen av straffesaksdokumenter fra politiet og kommunens bruk av dem under rettssaken for tingretten. Datatilsynet viser til at loven og personvernforordningen ikke gjelder for saker som behandles eller avgjøres i medhold av rettspleielovene, jf. personopplysningsloven § 2 andre ledd bokstav b. Det er videre opplyst at A kan klage på vedtaket, jf. forvaltningsloven § 28 flg.
A hadde flere henvendelser til Datatilsynet som dels omhandlet de innklagede forholdene og dels omhandlet klage over Datatilsynets saksbehandling. Datatilsynet besvarer disse henvendelsene i brev 21. oktober 2022. I dette brevet redegjør Datatilsynet også for at politiets utlevering av opplysninger fra straffesaker reguleres av politiregisterloven og at personvernforordningen ikke kommer til anvendelse. Tilsynet skriver videre at det ikke er grunnlag for å treffe vedtak om pålegg eller gi anmerkning etter politiregisterloven § 60 i dette tilfellet.
Kommunen ga sine merknader til varselet om irettesettelse 14. september 2022. A ga kommentarer til varselet 19. september 2022 og fremholdt at sakens alvorlighet tilsa at kommunen burde ilegges et overtredelsesgebyr.
Datatilsynet traff slikt vedtak om irettesettelse mot kommunen 30. september 2022:
«Med hjemmel i personvernforordningen art. 58 nr. 2 bokstav b har Datatilsynet fattet vedtak om irettesettelse til [kommunen] for:
·brudd på personvernforordningen artikkel 32 nr. 1, bokstav b, ved å gjøre dom fra [tingretten] tilgjengelig på kommunens nettside i usladdet form, og videresending av informasjonsskriv til vitner, ansatte og politikere i kommunen uten rettslig grunnlag for dette, jf. artikkel 5 og 6.»
A klaget på vedtaket om irettesettelse 31. oktober 2022. I klagen fremholdt A at Datatilsynet burde ilagt et overtredelsesgebyr, for å markere alvorligheten av personvernbruddet.
Datatilsynet avviste klagen 5. januar 2023 og begrunnet avvisningen med at A ikke hadde klagerett over Datatilsynets valg av reaksjon. A klaget på avvisningsvedtaket 20. januar 2023. Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sin avgjørelse.
Klagen ble oversendt Personvernnemnda 7. november 2023. A ble orientert om saken i brev fra nemnda 20. november 2023, og fikk anledning til å komme med kommentarer. A har gitt kommentarer i e-poster 17. januar, 25. januar, 19. februar, 14. mai og 10. juni 2024.
Saken ble behandlet i nemndas møte 18. juni 2024. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin, Hans Marius Tessem og Malin Tønseth. Utredningsleder Anette Klem Funderud og førstekonsulent Emilie Winther Løvli var også til stede.
Datatilsynets vurdering i korte trekk
Det er ikke er klagerett på Datatilsynets ileggelse av sanksjoner, da dette ikke er en avgjørelse som retter seg mot klager og heller ikke er bestemmende for vedkommende sine rettigheter og plikter, jf. forvaltningsloven § 2. Personvernnemnda har behandlet dette spørsmålet i en lignende sak, se PVN-2020-07.
Vilkårene for å behandle klagen er ikke oppfylt og saken skal avvises. Avvisningen er et enkeltvedtak som kan påklages, jf. forvaltningsloven § 2 tredje ledd.
As syn på saken i korte trekk
Kommunen bør ilegges et overtredelsesgebyr for publiseringen og videreformidlingen av personopplysningene fra rettssaken. Datatilsynet har ikke berørt alvorligheten i personvernbruddet i tilstrekkelig grad i vedtaket, som er særlig viktig i valg av reaksjon.
Kjernen i den underliggende saken er også personvernkrenkelser, og derfor oppleves det særdeles og ekstra belastende at kommunen fortsetter å bryte As personvern uten at det får noen konsekvenser av betydning for kommunen. Datatilsynet har ikke berørt og lagt tilstrekkelig vekt på at det er tale om særlige kategorier av personopplysninger, jf. artikkel 9.
Datatilsynet fokuserer flere ganger på at kommunen har beklaget hendelsen. Dette synes å overskygge at personvernbruddet ikke var et beklagelig uhell – kommunens øverste ledelse valgte å publisere opplysningene og bearbeide disse til et informasjonsskriv, for deretter å sende opplysningene til samtlige av kommunens ansatte. Dette er et forsettlig personvernbrudd, som Datatilsynet etter As vurdering bør vurdere svært alvorlig og mer alvorlig enn det som gjøres i dette vedtaket.
Kommunen har ikke truffet noen tiltak for å begrense skaden som de registrerte har lidt. Svært alvorlig er det at opplysningene i saken ikke bare gjelder A selv, med også hele hennes familie i en liten bygd. Familien har som konsekvens måtte flytte fra bygda permanent.
På denne bakgrunn er det etter As syn grunnlag for overtredelsesgebyr i saken, for å markere alvorligheten i personvernbruddet, jf. personvernforordningen. Et overtredelsesgebyr vil være virkningsfullt, forholdsmessig og avskrekkende overfor kommunen. Til sammenligning, i Datatilsynets vedtak om brudd på informasjonssikkerheten i Oslo kommune, referanse 20/02023-1, ble Oslo kommune ilagt et overtredelsesgebyr på 500 000 kroner for å ha publisert en stevning i en personalsak som lå offentlig tilgjengelig i fem timer.
Personvernnemndas vurdering
Klage over avvisning av klage over vedtak om irettesettelse
Datatilsynet har konkludert med at det forelå brudd på personvernforordningen artikkel 32 nr. 1, bokstav b, ved å gjøre dom fra tingretten tilgjengelig på kommunens nettside i usladdet form, og videresending av informasjonsskriv til vitner, ansatte og politikere i kommunen uten rettslig grunnlag for dette, jf. artikkel 5 og 6. I vedtaket ga Datatilsynet kommunen en irettesettelse for denne overtredelsen.
Personvernforordningen artikkel 78 nr. 1 gir enhver fysisk eller juridisk person rett til et effektivt rettsmiddel overfor et bindende vedtak «som gjelder dem» og som er truffet av en tilsynsmyndighet. Det overlates til nasjonal rett å fastsette regler om behandling av klagen. Det er de alminnelige saksbehandlingsreglene i forvaltningsloven som gjelder for Datatilsynets og nemndas behandling av klager, jf. Prop. 56 LS (2017-2018) punkt 26.5 og 27.5. Av forvaltningsloven § 28 første ledd framgår det at enkeltvedtak kan påklages av en part eller annen med rettslig klageinteresse i saken. En part er en «person som en avgjørelse retter seg mot eller som saken ellers direkte gjelder», jf. forvaltningsloven § 2 bokstav e.
Nemnda har i sin praksis lagt til grunn at en registrert som får sine personopplysninger behandlet av en behandlingsansvarlig er å anse som part i en sak hvor Datatilsynet vurderer om den behandlingsansvarlige har behandlet personopplysningene om den registrerte i tråd med loven. Personvernnemnda har videre lagt til grunn at Datatilsynets avgjørelser om at den behandlingsansvarliges behandling av personopplysninger om den registrerte ikke er ulovlig og i strid med personopplysningsloven, er en avgjørelse som er bestemmende for rettigheter og plikter for den registrerte og dermed et enkeltvedtak som kan påklages.
I denne saken konkluderte Datatilsynet med at kommunen hadde brutt personvernforordningen ved publiseringen og videresendingen av personopplysningene om A. A har dermed fått medhold i at kommunen har brutt reglene ved sin behandling av hennes personopplysninger.
At Datatilsynet valgte å ilegge en irettesettelse, men ikke fant det nødvendige med noe overtredelsesgebyr, er ikke bestemmende for As rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» henne, jf. § 2 første ledd bokstav e. Datatilsynets valg av reaksjon er derfor ikke et enkeltvedtak som gir A klagerett. Nemnda viser til PVN-2019-12, PVN-2020-07 og PVN-2024-01 hvor nemnda har lagt tilsvarende rettsoppfatning til grunn. Dette gjelder uavhengig av om den valgte reaksjonen synes å avvike fra tidligere tilsynspraksis.
As klage over Datatilsynets valg av reaksjon mot kommunen skal etter dette avvises.
Øvrige forhold
Saksdokumentene er omfattende, og saksbehandlingen hos Datatilsynet har pågått siden tilsynet mottok melding om brudd fra kommunen i desember 2021. A har hatt gjentatte henvendelser til Datatilsynet i hele perioden, dels med gjentakelser og dels med nye forhold. Det gjør at saksdokumentene er uoversiktlige. Personvernnemnda vil derfor også kort omtale enkelte forhold som er beskrevet flere steder i saksdokumentene, selv om nemnda ikke anser disse forholdene for å være en del av As klage 20. januar 2023.
Datatilsynet skriver i sitt oversendelsesbrev ved oversendelse av saken til nemnda:
«Klagen av 20. januar 2023 omfatter også avvisning av klage på vårt vedtak datert 6. september 2022 (dok. 22/00838-13) om avvisning av en klage [på politidistriktet] med henvisning til det såkalte rettspleielovunntaket.»
Nemnda kan ikke se at A har påklaget Datatilsynets avgjørelse, når det gjelder politiets utlevering av opplysninger fra straffesaken, innen den lovbestemte klagefristen på tre uker, jf. forvaltningsloven § 29. For opplysningens skyld bemerker nemnda likevel at Datatilsynets kompetanse, når det gjelder utlevering av opplysninger fra straffesaker, uansett er begrenset. Datatilsynet kan, dersom reglene om utlevering av opplysninger ikke er overholdt, eventuelt bare gi politiet en anmerkning. I saker der Datatilsynet bare har anmerkningskompetanse, treffes ikke enkeltvedtak og saken kan ikke påklages til Personvernnemnda, jf. politiregisterloven § 60 tredje ledd og politiregisterforskriften § 42-5 andre ledd. Dette innebærer at det ikke kan klages på Datatilsynets avgjørelse om det skal gis anmerkning eller ikke.
Basert på As innsendte kommentarer etter at saken ble oversendt, kan det synes som at A også mener at Personvernnemnda skal ta stilling til hvorvidt kommunens fremleggelse av straffesaksdokumenter, og eventuelt også en journal fra familievernkontoret, i den sivile saken for domstolen var i tråd med personvernforordningen. Datatilsynet har i vedtak 6. september 2022 avvist denne delen av saken under henvisning til rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b.
Nemnda bemerker at det følger av personopplysningsloven § 2 andre ledd bokstav b at loven og personvernforordningen ikke gjelder for «saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.). Uten å ta stilling til i hvilken grad personvernforordningen også gjelder for domstolenes behandling av personopplysninger, som omtalt i Prop. 56 LS (2017-2018) punkt 4.5.7, legger nemnda til grunn at det uansett følger av artikkel 55 nr. 3 at det vil være domstolene selv som eventuelt må anvende personvernforordningen når de skal ta stilling til hvilke dokumenter som skal tillates fremlagt og ikke, jf. også EU-domstolens avgjørelse i C-268/21 – Norra Stockholm Bygg AB. Datatilsynet og Personvernnemnda har ikke kompetanse til å overprøve domstolene når de handler innenfor rammene av sin domsmyndighet. Det var derfor riktig av Datatilsynet å avvise denne delen av saken.
Konklusjon
A får ikke medhold i sin klage.
Vedtaket er enstemmig.
Vedtak
Datatilsynets vedtak om avvisning opprettholdes.
Oslo, 18. juni 2024
Mari Bø Haugstad
Leder