Personvernnemndas vedtak 28. mai 2024 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin, Malin Tønseth)
Saken gjelder klage fra A 18. september 2023 på Datatilsynets vedtak 5. september 2023 om irettesettelse til arbeidsgiver for overtredelse av personvernforordningens prosessuelle regler knyttet til gjennomføring av innsyn i arbeidstakers e-postkasse. Datatilsynet la til grunn at arbeidsgiver hadde rettslig grunnlag for innsynet.
Sakens bakgrunn
I 2020 fikk arbeidsgiver mistanke om at en ansatt i selskapet hadde begått underslag og gjennomførte innsyn i vedkommende ansattes e-postkasse. Etter funn av e-postutvekslinger mellom vedkommende ansatt og A, mistenkte arbeidsgiver at A kunne ha medvirket til et eventuelt underslag, samt at hun hadde spredd taushetsbelagt informasjon. Det ble derfor også gjennomført innsyn i hennes e-postkasse.
Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra B, som ekstern samarbeidspartner, og C, som databehandler for arbeidsgiver.
A ble oppsagt. Oppsigelsen var blant annet begrunnet i at A hadde brutt lojalitetsplikten i arbeidsforhold ved å dele innsideinformasjon og annen fortrolig informasjon. Dette ble avdekket i det gjennomførte innsynet i As e-postkasse.
A klaget til Datatilsynet 12. juli 2020 på arbeidsgivers innsyn i hennes e-postkasse. Hun klaget på manglende rettslig grunnlag for innsynet, på gjennomføringen av innsynet og på arbeidsgivers utlevering av personopplysninger.
A reiste høsten 2020 også søksmål ved domstolene med påstand om at oppsigelsen var ugyldig, samt krevde erstatning og oppreisning. Mens klagesaken fortsatt var til behandling hos Datatilsynet ble det avsagt dom i tingretten og lagmannsretten og saken ble nektet fremmet for Høyesterett […] 2022.
I likhet med tingretten kom lagmannsretten i dom avsagt […] 2022 til at oppsigelsen var gyldig, og at det derfor ikke var grunnlag for erstatning etter arbeidsmiljøloven, men at reglene for innsyn i ansattes e-post var brutt, slik at det var grunnlag for oppreisningserstatning etter personopplysningsloven. Oppreisningserstatningen etter personopplysningsloven § 30 ble satt til 20 000 kroner.
Datatilsynet traff deretter vedtak i saken 28. november 2022. Datatilsynet la til grunn at vilkårene for å foreta innsyn etter e-postforskriften § 2 første ledd bokstav b var oppfylt. Datatilsynet viste til Borgarting lagmannsretts konklusjon om brudd på e-postforskriften og påla arbeidsgiver å etablere «internkontroll og rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale, jf. personvernforordningen artikkel 24.»
Etter at A klaget på vedtaket 18. desember 2022, traff Datatilsynet nytt, endret vedtak 5. september 2023 hvor arbeidsgiver også ble ilagt en irettesettelse. Datatilsynet traff slikt vedtak:
«1. Datatilsynet fatter vedtak om irettesettelse mot [arbeidsgiver] for brudd på:
a. Personvernforordningen artikkel 5 nr. 2 (ansvarlighetsprinsippet), ved manglende vurdering av rettslig grunnlag ved behandling av klagers personopplysninger,
b. Personvernforordningen artikkel 5 nr. 1 bokstav c (dataminimeringsprinsippet), ved å behandle flere personopplysninger om klager enn det som var nødvendig for formålet, og
c. Personvernforordningen artikkel 5 nr. 1 bokstav a (åpenhetsprinsippet), artikkel 13 og 14 (informasjonsplikten), og e-postforskriften § 3, ved manglende informasjon, forhåndsvarsel og mangelfull etterfølgende orientering.
d. Personvernforordningen artikkel 6 nr. 1 bokstav f, ved å utlevere klagers personopplysninger til ekstern part uten rettslig grunnlag.
2. Med hjemmel i personvernforordningen art. 58 nr. 2 bokstav d pålegges [arbeidsgiver] å utbedre internkontroll og rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale, jf. personvernforordningen artikkel 24.»
Den eksterne parten som det vises til i vedtakets punkt 1 d, er B.
Datatilsynet opprettholdt sin vurdering fra det første vedtaket, truffet 28. november 2022, om at arbeidsgiver hadde rettslig grunnlag for å gjøre innsyn i As e-postkasse.
A klaget 18. september 2023 på Datatilsynets vedtak. Klagen gjaldt tilsynets vurdering av faktum, spørsmålet om arbeidsgiver hadde rettslig grunnlag til å foreta innsyn i hennes e-postkasse, Bs rolle under innsynet, arbeidsgivers manglende behandlingsprotokoll, samt Datatilsynets valg av reaksjon/korrigerende tiltak (irettesettelse) overfor arbeidsgiver.
Datatilsynet behandlet klagen og opprettholdt sin avgjørelse. Saken ble oversendt Personvernnemnda 4. januar 2024. Partene ble orientert om saken i brev fra nemnda og fikk anledning til å komme med kommentarer. A har gitt sine kommentarer i e-post 4. mars 2024. Arbeidsgiver har gitt sine merknader i brev til nemnda 1. mars 2024.
Saken ble behandlet i nemndas møte 28. mai 2024. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin, Hans Marius Tessem og Malin Tønseth. Utredningsleder Anette Klem Funderud og førstekonsulent Emilie Winther Løvli var også til stede.
Datatilsynets vurdering i korte trekk
Datatilsynet påpekte at arbeidsgiver ikke har framlagt dokumentasjon som viser at arbeidsgiver vurderte det rettslige grunnlaget for å gjøre undersøkelser rettet mot A. Datatilsynet konkluderte med at arbeidsgiver ikke kan påvise overholdelse av prinsippene om formålsbegrensning og lovlighet etter personvernforordningen artikkel 5 nr. 1 bokstav a og b. Basert på dette konkluderte tilsynet med at arbeidsgiver ikke har overholdt ansvarlighetsprinsippet, jf. artikkel 5 nr. 2.
Datatilsynet viste til at den registrerte blant annet skal få informasjon om formålet med behandlingen og det rettslige grunnlaget, jf. artikkel 14 nr. 1 bokstav c, samt at det følger av åpenhetsprinsippet at personopplysninger skal behandles på en åpen måte, jf. artikkel 5 nr. 1 bokstav a. I dette tilfellet ble det søkt etter opplysninger i kollegaens e-postkasse uten at A fikk informasjon i forkant. Datatilsynet vurderte at det innebærer at arbeidsgiver ikke behandlet As personopplysninger med tilstrekkelig åpenhet, jf. artikkel 5 nr. 1 bokstav a og artikkel 14.
Datatilsynet la til grunn at arbeidsgiver under innsynet i kollegaens e-postkasse kom over e-poster som ga «begrunnet mistanke» om at A kunne ha medvirket til underslag og lekket konfidensiell informasjon. Tilsynet fant ikke grunnlag for å konstatere brudd på kravene i e-postforskriften § 2 første ledd bokstav b og konkluderte med at vilkåret om «berettigede interesser» var oppfylt. Datatilsynet la videre til grunn at innsynet framstod som et egnet tiltak for å undersøke hvorvidt A hadde utlevert konfidensiell informasjon, og fant nødvendighetsvilkåret oppfylt. Datatilsynet foretok også en interesseavveining og konkluderte med at det ikke forelå brudd på vilkårene for å gjøre innsyn i klagers e-postkasse etter e-postforskriften § 2 og artikkel 6 nr. 1.
Datatilsynet la til grunn at arbeidsgiver har overtrådt e-postforskriften § 3 første ledd, personvernforordningen artikkel 5 nr. 1 bokstav a (åpenhetsprinsippet), og artikkel 13 ved å unnlate forhåndsvarsling. Arbeidsgivers interesser i saken ville vært ivaretatt ved å ta en speilkopi, slik at A kunne bli forhåndsvarslet om innsynet i hennes e-postkasse. Tilsynet mente videre at den etterfølgende underretningen til A var mangelfull og innebar et brudd på e-postforskriften § 3 fjerde ledd.
Datatilsynet la videre til grunn at B, som var den som gjennomførte innsynet i As e-postkasse, ikke kan anses som arbeidsgivers databehandler etter artikkel 28, men vurderes som en ekstern aktør som gjennomførte innsynet og fikk utlevert As personopplysninger. Datatilsynet mente at arbeidsgiver hadde «berettigede interesser» for å utlevere personopplysningene til B, men at slik utlevering ikke var nødvendig og at hensynet til As interesser veide tyngre enn arbeidsgivers berettigede interesser. Datatilsynet konkluderte med at arbeidsgiver utleverte As personopplysninger til B uten rettslig grunnlag i artikkel 6 nr. 1 bokstav f.
Tilsynet fastslo at arbeidsgiver ikke gjennomførte innsynet i samsvar med dataminimeringsprinsippet i artikkel 5 nr. 1 bokstav c. Søkeordene som ble brukt var egnet til å generere flere personopplysninger enn det som var nødvendig for formålet om å oppklare eventuell illojal opptreden.
For disse overtredelsene fant Datatilsynet at en irettesettelse til arbeidsgiver var en passende reaksjon i saken, jf. artikkel 58 nr. 2 bokstav b. Tilsynet viste til at overtredelsene berørte et begrenset antall personer, at konstaterte brudd på ansvarlighetsprinsippet og åpenhetsprinsippet i hovedsak kun berørte A og at hun fikk underretning om innsynet kort tid etter at det var gjennomført.
Datatilsynet opplyste at tilsynets valg av korrigerende tiltak mot den behandlingsansvarlige ikke er et enkeltvedtak som kan påklages av den registrerte, jf. forvaltningsloven § 28. En slik avgjørelse er ikke «bestemmende for rettigheter og plikter» til den registrerte, jf. forvaltningsloven § 2 første ledd bokstav a, jf. bokstav b, eller «retter seg mot» eller «direkte gjelder» den registrerte etter forvaltningsloven § 2 første ledd bokstav e.
As syn på saken i korte trekk
Arbeidsgiver hadde ikke rettslig grunnlag for innsynet i hennes e-postkasse, jf. e-postforskriften § 2 og artikkel 6 nr. 1. Arbeidsgiver må ilegges et overtredelsesgebyr for overtredelsen.
Hun har klagerett på Datatilsynets manglende ileggelse av overtredelsesgebyr. Personvernrådet har utarbeidet retningslinjer knyttet til reaksjonsform – «Guidelines 04/2022 on the calculation of administrative fines under the GDPR». Disse har stor rettskildemessig vekt og skal praktiseres likt i hele EØS. Datatilsynet overholder ikke kravene i retningslinjene fra Personvernrådet. GDPR-forskriften og EØS-loven har forrang over forvaltningsloven og det er ingenting i disse som kan tolkes dithen at hun ikke har klagerett knyttet til Datatilsynets brudd på Personvernrådets retningslinjer, GDPR-forskriften og EØS-loven knyttet til manglende ileggelse av overtredelsesgebyr, snarere det motsatte.
Hvis hun ikke har klagerett knyttet til manglende ileggelse av overtredelsesgebyr, kan Datatilsynet subjektivt og forsettlig forskjellsbehandle brudd på personvernforordningen med hensyn til ileggelse av overtredelsesgebyr, slik de har gjort i denne saken.
I vedtaket framstiller Datatilsynet sakens fakta feil til tross for at dette er dokumentert feil. Datatilsynets manglende overtredelsesgebyr fremstår som et forsøk på å hvitvaske de omfattende og alvorlige bruddene på personvernforordningen, og bruk av uriktige erklæringer, som er blitt dokumentert i denne saken. Som det framgår av hennes klage er det også faktisk, rettslig og naturlig årsakssammenheng mellom Datatilsynets omfattende og dokumenterbare feil fremstilling av sakens faktum og manglende ileggelse av overtredelsesgebyr. Dette alene gir klagerett uavhengig av EØS-lovens § 2.
Datatilsynets konklusjon om at arbeidsgiver benyttet en underleverandør uten databehandleravtale er feil og innebærer et brudd på artikkel 28 (1) og (3).
Protokoll/memo ble først overlevert fra arbeidsgiver over ett år etter avsluttet innsyn i hennes e-postkasse. Det foreligger ingen protokoll over innsynet som tilfredsstiller kravene til føring av protokoll og hvem som kan utarbeide en protokoll. Dette representerer et brudd på GDPR artikkel 30, men dette er ikke medtatt i Datatilsynets vedtaket om irettesettelse.
Datatilsynets behandling av saken er partisk og subjektiv. Tilsynet bryter kravene i flere av personvernforordningens bestemmelser, herunder artikkel 52, 57 nr. 1 bokstav f., 58 nr. 1 bokstav a og e, 58 nr. 5, 77 og 83. Datatilsynet er i henhold til ovenstående artikler 52, 57, 58, 77 og 78 pliktige til å undersøke og behandle alle saker i full uavhengighet, uavhengig av en rettskraftig dom knyttet til oppsigelsessaken mot arbeidsgiver. Det har ikke skjedd i denne saken.
Arbeidsgivers syn på saken i korte trekk
Datatilsynet slår i vedtaket fast at det var hjemmel for arbeidsgivers innsyn i As e-postkasse og at måten innsynet ble gjennomført på i det alt vesentlige fulgte kravene i personvernregelverket. De bruddene som ble konstatert og Datatilsynets irettesettelse i den forbindelse har arbeidsgiver tatt til etterretning.
Selskapet har også rettet seg etter påleggene fra tilsynet om å utbedre internkontroll og rutiner for innsyn.
Arbeidsgiver slutter seg til Datatilsynets vurderinger i oversendelsesbrevet til nemnda om at vedtaket ikke er beheftet med noen mangler eller ugyldighetsgrunner, at vedtaket ikke bør omgjøres og at klager ikke har klagerett knyttet til valg av reaksjon fra Datatilsynet overfor arbeidsgiver. Selskapet legger følgelig til grunn at klagen avvises hva angår valg av reaksjon, og at den ikke tas til følge for øvrig.
Personvernnemndas vurdering
Klagen gjelder tilsynets vurdering av faktum, spørsmålet om arbeidsgiver hadde rettslig grunnlag til å foreta innsyn i hennes e-postkasse, Bs rolle under innsynet, arbeidsgivers manglende behandlingsprotokoll, samt Datatilsynets valg av reaksjon/korrigerende tiltak (irettesettelse) overfor arbeidsgiver.
Faktum – nemndas bevisvurdering
Når det gjelder faktum har Personvernnemnda lagt til grunn det faktumet Borgarting lagmannsrett fant bevist under ankeforhandlingene der, som tilsvarer bevisvurderingen i Oslo tingrett. Ankeforhandlingene varte over fire dager og lagmannsrettens bevisvurdering er basert på umiddelbar bevisføring for retten. Bevisførselen under ankeforhandlingene er derfor grundigere og mer omfattende enn hva som er tilfelle ved en skriftlig forvaltningsklage.
Både Oslo tingrett og Borgarting lagmannsrett fant bevist at A hadde delt innsideopplysninger, samt også annen taushetsbelagt informasjon, som innebar et brudd på lojalitetsplikten. Nemnda legger det til grunn også for sin vurdering av denne saken.
Hadde arbeidsgiver rettslig grunnlag for sitt innsyn i As e-postkasse?
Arbeidsgivers adgang til innsyn i ansattes e-postkasser er regulert i forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk materiale (e-postforskriften), gitt med hjemmel i arbeidsmiljøloven § 9-5.
Innsyn i arbeidstakers e-postkasse er behandling av personopplysninger og personopplysningsloven og personvernforordningen kommer til anvendelse. E-postforskriften ble vedtatt i forbindelse med implementeringen av personvernforordningen og er ifølge forarbeidene innenfor personvernforordningens rammer, jf. Prop. 56 LS (2017-2018) side 182-183.
Av forskriften § 2 bokstav b følger det at arbeidsgiver ved «begrunnet mistanke om at arbeidstakers bruk av e-postkasse eller annet elektronisk utstyr medfører grovt brudd på de plikter som følger av arbeidsforholdet eller kan gi grunnlag for oppsigelse eller avskjed» har rett til innsyn i arbeidstakers e-postkasse. For at innsynet skal være lovlig må arbeidsgiver videre følge prosedyrene etter forskriften § 3. Datatilsynet har, i likhet med Borgarting lagmannsrett, konkludert med at arbeidsgiver ikke har gått fram i tråd med e-postforskriften og personvernforordningens krav ved gjennomføringen av innsynet. Borgarting lagmannsrett dømte arbeidsgiver til å betale en oppreisningserstatning på 20 000 kroner til A for brudd på disse prosedyrereglene, jf. personopplysningsloven § 30. For dette har Datatilsynet også ilagt arbeidsgiver en irettesettelse, jf. personvernforordningen artikkel 58 nr. 2 bokstav b. Arbeidsgiver har akseptert irettesettelsen og bruddene på prosedyrereglene er ikke en del av denne klagen.
Personvernnemnda er enig i Datatilsynets vurdering, som også støttes av lagmannsrettens vurdering som igjen viser til tingrettens begrunnelse, om at innsynet i As e-postkasse var tilstrekkelig begrunnet, jf. personvernforordningen artikkel 6 nr. 1 bokstav f og e-postforskriften § 2 bokstav b.
Bs rolle under gjennomføringen innsynet
Nemnda legger, som Datatilsynet, til grunn at det ikke foreligger noen databehandleravtale med B eller med selskapet hvor B var ansatt. Han må derfor vurderes som en ekstern aktør.
En utlevering av personopplysninger til en ekstern aktør representerer en behandling av personopplysninger, og krever et rettslig grunnlag etter artikkel 6 nr. 1. Datatilsynet har vurdert om arbeidsgiver hadde rettslig grunnlag for sin utlevering av personopplysninger etter artikkel 6 nr. 1 bokstav f og har etter en interesseavveining konkludert med at arbeidsgiver manglet rettslig grunnlag. For dette er arbeidsgiver ilagt en irettesettelse, jf. artikkel 58 nr. 2 bokstav b.
Nemnda har i saksdokumentene ikke funnet holdepunkter for at B eller selskapet hvor B var ansatt i stedet skulle vært ansett som en databehandler, slik A anfører. Datatilsynets vedtak opprettholdes.
Om arbeidsgiver hadde behandlingsprotokoll
A har klaget på manglende protokoll for innsynet, jf. artikkel 30. Det følger av personvernforordningen artikkel 30 at den behandlingsansvarlige, og dersom det er relevant, den behandlingsansvarliges representant, plikter å føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. Det følger videre av bestemmelsens nr. 3 og 4 at protokollene skal være skriftlige og at den behandlingsansvarlige på anmodning skal «gjøre protokollen tilgjengelig for tilsynsmyndigheten».
En registrert har etter artikkel 77 rett til å klage til en tilsynsmyndighet dersom hun «anser at behandlingen av personopplysninger som gjelder vedkommende, er i strid med denne forordning». Denne retten til å klage til en tilsynsmyndighet omfatter ikke separate klager over eventuell manglende overholdelse av den behandlingsansvarliges generelle forpliktelser etter kapittel IV, herunder plikten til å føre protokoll etter artikkel 30. Det vil være opp til tilsynsmyndigheten å vurdere om dette er et forhold det er grunn til å forfølge overfor en behandlingsansvarlig eller ikke.
Denne delen av klage skal dermed avvises.
Datatilsynets valg av reaksjon
Datatilsynet har konkludert med at arbeidsgiver ikke har gjennomført innsynet i tråd med personvernforordningens regler da de gjennomførte innsyn i As e-postkasse. For dette har tilsynet ilagt arbeidsgiver en irettesettelse, jf. personvernforordningen artikkel 58 nr. 2 bokstav b.
Personvernforordningen artikkel 78 nr. 1 gir enhver fysisk eller juridisk person rett til et effektivt rettsmiddel overfor et bindende vedtak «som gjelder dem» og som er truffet av en tilsynsmyndighet, og overlater til nasjonal rett å fastsette regler om behandling av klagen. Det er de alminnelige saksbehandlingsreglene i forvaltningsloven som gjelder for Datatilsynets og nemndas behandling av klager, jf. Prop. 56 LS (2017-2018) punkt 26.5 og 27.5. Av forvaltningsloven § 28 første ledd framgår det at enkeltvedtak kan påklages av en part eller annen med rettslig klageinteresse i saken. En part er en «person som en avgjørelse retter seg mot eller som saken ellers direkte gjelder», jf. forvaltningsloven § 2 bokstav e.
Etter forvaltningsloven § 2 første ledd bokstav a er «vedtak» definert slik:
«en avgjørelse som treffes under utøving av offentlig myndighet og som generelt eller konkret er bestemmende for rettigheter eller plikter til private personer (enkeltpersoner eller andre private rettssubjekter)».
Forvaltningsloven deler vedtakene i to undergrupper – enkeltvedtak og forskrifter, jf. forvaltningsloven § 2 første ledd bokstav b og c. Enkeltvedtakene er vedtak som «gjelder rettigheter eller plikter til en eller flere bestemte personer», jf. § 2 første ledd bokstav b. Som det framgår, har vedtaksbegrepet i forvaltningsloven et snevrere innhold enn den mer generelle betegnelsen «avgjørelse», som også benyttes i forvaltningsloven, jf. for eksempel lovens § 6 om habilitetskrav.
Skillet mellom enkeltvedtak og andre avgjørelser har stor betydning for hvilke prosessuelle rettigheter partene og andre berørte i forvaltningssaken har, og for hvilke regler offentlige forvaltningsorganer må følge ved behandlingen av saken. Saksbehandlingsreglene i forvaltningsloven kap. IV-VI om bl.a. forhåndsvarsel, utrednings- og opplysningsplikt, dokumentinnsyn, begrunnelse og klage, får bare anvendelse i saker som gjelder enkeltvedtak, jf. forvaltningsloven § 3 første ledd.
Om den nærmere avgrensningen mellom enkeltvedtak og andre avgjørelser sier Sivilombudet i SOM-2010-2482:
«Den nærmere avgrensingen mellom enkeltvedtak og andre avgjørelser må skje etter en konkret vurdering. Utgangspunktet må tas i ordlyden, men vurderingen kan ikke begrenses til en drøftelse av om avgjørelsen etter en språklig tolkning faller inn under legaldefinisjonen i lovens § 2. Også reelle hensyn vil stå sentralt. Det må spørres om avgjørelsen er av en slik karakter at forvaltningslovens regler om enkeltvedtak bør komme til anvendelse. Hensynet til partenes rettssikkerhet, forvaltningens arbeidsbyrde og andre praktiske forhold vil måtte tillegges vesentlig vekt.
Det må altså foreligge en 'avgjørelse' som er 'bestemmende for rettigheter eller plikter'. Disse to vilkårene henger tett sammen. Det er ikke klagerett over prosessledende beslutninger. Det tradisjonelle utgangspunktet er at forvaltningens unnlatelse av å bruke sin kompetanse til inngrep, ikke er en avgjørelse som er bestemmende for rettigheter og plikter, med mindre det motsatte fremgår av loven. Utgangspunktet utfordres imidlertid i visse tilfeller. I Graver, Alminnelig forvaltningsrett (3. utgave 2007) s. 401 flg. tas det til orde for at 'spørsmålet løses ... best gjennom lovgivning i tilknytning til det enkelte forvaltningsområde, bl.a. ut fra en legislativ vurdering av om inngrepskompetansen først og fremst er begrunnet i mer generelle samfunnsmessige hensyn, eller om den også er begrunnet i hensynet til tredjemann, slik at denne bør gis konkrete rettigheter i saksbehandlingen.' Videre argumenteres det for at '[h]vorvidt det er et vedtak i forvaltningslovens forstand når et forvaltningsorgan unnlater å bruke en inngrepskompetanse etter oppfordring fra en som mener seg berørt, beror på en konkret fortolkning av den aktuelle inngrepskompetansen'.»
Nemnda har i sin praksis lagt til grunn at en registrert som får sine personopplysninger behandlet av en behandlingsansvarlig er å anse som part i en sak hvor Datatilsynet vurderer om den behandlingsansvarlige har behandlet personopplysningene om den registrerte i tråd med loven. Personvernnemnda har videre lagt til grunn at Datatilsynets avgjørelse om at den behandlingsansvarliges behandling av personopplysninger om den registrerte ikke er ulovlig og i strid med personopplysningsloven, er en avgjørelse som er bestemmende for rettigheter og plikter for den registrerte og dermed et enkeltvedtak som kan påklages.
I nærværende sak konkluderte Datatilsynet med at arbeidsgiver hadde brutt personvernforordningen da de gjennomførte innsyn i arbeidstakers e-postkasse. A har dermed fått medhold i at arbeidsgiver har brutt reglene ved sin behandling av hennes personopplysninger.
At Datatilsynet valgte å ilegge en irettesettelse, men ikke fant det nødvendige med noe overtredelsesgebyr, er ikke en avgjørelse som retter seg mot A og er heller ikke bestemmende for hennes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» A, jf. § 2 første ledd bokstav e. Datatilsynet valg av reaksjon er derfor ikke et enkeltvedtak som gir A klagerett. Nemnda viser til PVN-2019-12 og PVN-2020-07 hvor nemnda har lagt tilsvarende rettsoppfatning til grunn.
As klage over Datatilsynets valg av reaksjon mot arbeidsgiver skal etter dette avvises.
Oppsummeringsvis har Personvernnemnda kommet til:
1. Arbeidsgivers innsyn i As e-postkasse var hjemlet i personvernforordningen artikkel 6 nr. 1 bokstav f og e-postforskriften § 2 bokstav b.
2. Datatilsynets vedtak om at det ikke var nødvendig for arbeidsgiver å inngå en databehandleravtale med B, opprettholdes.
3. As klage over arbeidsgivers manglende protokoll over behandlingsaktiviteter avvises.
4. As klage over Datatilsynets manglende ileggelse av overtredelsesgebyr avvises.
A får ikke medhold i sin klage.
Personvernnemndas vedtak er enstemmig.
Konklusjon
As klage over arbeidsgivers manglende protokoll over behandlingsaktiviteter og As klage over Datatilsynets manglende ileggelse av overtredelsesgebyr avvises, for øvrig opprettholdes Datatilsynets vedtak.
Oslo, 28. mai 2024
Mari Bø Haugstad
Leder