Personvernnemndas avgjørelse av 20. mars 2018 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Hans Marius Graasvold, Petter Bae Brandtzæg, Ellen Blinkenberg)
1 Innledning
Saken gjelder klage på Datatilsynets vedtak om ileggelse av overtredelsesgebyr for å ha sammenstilt GPS-data fra bussens billetteringssystem med to ansatte bussjåførers overtidsregistrering uten rettslig grunnlag og i strid med formålsprinsippet i personopplysningsloven § 11 bokstav c.
2 Sakens bakgrunn og faktum
Nobina Norge AS (heretter Nobina) er en nasjonal aktør innenfor kollektivtransport. Selskapet utfører persontransport på by- og regionalruter samt skolekjøring med buss for offentlige oppdragsgivere i Oslo, Akershus, Hordaland og Troms.
Nobina har siden 2005 benyttet billetteringssystemet Atries. Billettmaskinen tilknyttet bussene har blant annet integrert GPS med tilhørende individuelt sjåførkort som kobles til maskinen før kjøring. Billettmaskinen registrerer og lagrer data, blant annet hvilken rute som kjøres, hvilken bil/sjåfør som kjører ruta, kundetransaksjoner og tidspunkter for når bussen er på den enkelte holdeplass.
I utgangspunktet ble informasjonen fra den elektroniske billettmaskinen benyttet til å kontrollere kundenes transaksjoner, samt bussens posisjon av praktiske og sikkerhetsmessige årsaker.
I 2014 vurderte Nobina at det skulle iverksettes kontrolltiltak på arbeidsplassen. Dette ble drøftet med de hovedtillitsvalgte og er referert slik i protokoll av 28. august 2014:
«Grunnlag for kontrolltiltak
Arbeidsmiljølovens kapittel 9 om kontrolltiltak og hovedavtalens tilleggsavtale V om kontrolltiltak i bedriften.
Nobina har vurdert at det skal iverksettes kontrolltiltak for å dokumentere at sikkerhetsinstruksen med underliggende dokumenter blir fulgt. Kontrolltiltakene iverksettes også for å redusere risiko mot liv og helse og for å forebygge og avdekke interne pliktbrudd og eksterne anslag rettet mot bedriften.
Utkastet til disse retningslinjene har vært drøftet med de tillitsvalgte gjennom deres tilstedeværelse og ved drøftinger i konsernets prosjektgruppe.
Kontrolltiltakene som innføres er vurdert å ha saklig grunn i virksomhetens forhold og skal ikke innebære en uforholdsmessig belastning for arbeidstakerne.
Retningslinjene for kontrolltiltak skal kommuniseres til alle ansatte i selskapet før kontrollen iverksettes og det skal dokumenteres at slik informasjon er gitt.
Formålet med kontrolltiltak
Formålet med kontrolltiltakene er å bidra til å sikre Nobina sitt grunnsikringsnivå. Kontrollene skal forebygge og avdekke avvik fra interne regler og rutiner, avklare driftsavvik, pliktbrudd og eksterne anslag. Gjennom kontrolltiltakene ønsker Nobina å øke kompetansen og personlig bevisstgjøring knyttet til sikkerhet i selskapet.
Aktuelle kontrolltiltak i selskapet
Kontrolltiltak på generelt grunnlag:
- Det kan gjennomføres forhåndsvarslede revisjoner og uanmeldte kontroller av sikkerhetsinstruksen og underliggende dokumenter og systemer.
- Det kan innføres krav om synlig personlig ID-kort som gyldig bevis for lovlig opphold på Nobina sitt område, bruk av kjøretøy og tidsregistrering. Personopplysninger ivaretas ihht. norsk lov.
- Det kan benyttes kamera, alarm- og adgangskontrollsystemer og loggført informasjon fra disse.
- Det kan benyttes bakgrunnssjekk ved nyansettelser etter personlig samtykke fra kandidaten.
- Det kan gjennomføres veskekontroller. Andre tilsvarende personalkontroller på generelt grunnlag skal drøftes særskilt og knyttet til den lokasjon det vurderes innført.
Kontrolltiltak ved konkret mistanke om pliktbrudd og straffbare handlinger:
- Kontroller som beskrevet ovenfor
- Rustesting jfr. Aml. 9-4
- Kontroll av personer, bygninger, uteområde og kjøretøy som er i tjeneste for Nobina eller oppholder seg på Nobina sine områder
- Skjult utredning
[…]»
Nobina utførte våren 2015 kontroll av en sjåfør som hevdet å ha blitt forsinket på bussruten og derfor sendte inn krav på overtidsbetaling. Overtid i Nobina vurderes ut ifra om en sjåfør er forsinket sammenlignet med en på forhånd fastsatt tidstabell i skiftplanen. Sjåførens skift starter og slutter på stasjoneringsstedet. Forsinkelser på inntil 10 minutter er kompensert i timelønnen, og forsinkelser ut over 10 minutter utbetales som en halvtime. Sjåføren registrerte 15 minutters forsinkelse både 27. og 28. mars 2015, og sendte inn krav på overtid for disse forsinkelsene. Nobinas oppfatning var at dette var en sjåfør som ved flere tilfeller krevde overtid på skift andre sjåfører klarte å fullføre innen ordinær arbeidstid. Nobina innhentet informasjon fra billettloggen på bussen og sammenholdt denne med GPS-data som viste tid/sted for solgte billetter. GPS-dataene viste at det ikke var forsinkelser på skiftet. Overtidskravet ble underkjent og sjåføren ble ilagt en advarsel.
Slik sammenstilling/kontroll skjedde også overfor en annen ansatt våren 2015. Vedkommende sjåfør hadde sendt inn overtidskrav som følge av forsinket bussrute for fire dager i februar. Kontrollen avdekket at bussen var parkert på stasjoneringsstedet i god tid før utløpet av betalt arbeidstid alle de fire dagene. Arbeidstakeren ble som følge av dette gitt en skriftlig advarsel for grovt brudd på arbeidsavtalen.
Den 31. august 2015 mottok Datatilsynet en henvendelse fra Yrkestrafikkforbundet (heretter YTF) om Nobinas sammenstilling og bruk av opplysninger. De ba om Datatilsynets vurdering av om en arbeidsgiver «ensidig [kunne] innføre et slikt kontrolltiltak på individnivå». I følge YTF var kontrolltiltaket ikke drøftet med de tillitsvalgte og sjåføren var ikke klar over at Nobina brukte billettmaskinens GPS-system til å kontrollere overtidsregistrering på individnivå.
I brev 20. november 2015 ga Datatilsynet en foreløpig vurdering av om Nobinas behandling av personopplysninger var i strid med personopplysningsloven. Vurderingen var basert på YTFs fremstilling av saken. Tilsynet konkluderte med at Nobina manglet gyldig behandlingsgrunnlag i loven, jf. personopplysningsloven § 8 f.
I begynnelsen av desember 2015 presiserte YTF at de ønsket saken behandlet som en klagesak og at de ønsket at Datatilsynet traff avgjørelse/pålegg i saken.
Datatilsynet tilskrev Nobina og ba om en redegjørelse i brev 4. februar 2016. Nobina redegjorde for saken i brev 24. februar 2016.
I brev 11. mai 2016 ble Nobina bedt om å gi ytterligere opplysninger. Nobina besvarte tilsynets henvendelse i brev 20. mai 2016. Tilsynet varslet pålegg og overtredelsesgebyr i brev 19. august 2016.
Nobina ga sine merknader til varselet i brev 5. oktober 2016. YTF kommenterte Nobinas merknader i brev 13. oktober 2016.
Datatilsynet fattet følgende pålegg og vedtak om overtredelsesgebyr den 13. februar 2017:
«Nobina må etablere og dokumentere internkontroll i samsvar med personopplysningsloven § 14, jf. personopplysningsforskriften kapittel 3.
Som ledd i dette arbeidet må Nobina blant annet utarbeide en samlet oversikt over alle behandlinger av personopplysninger virksomheten er behandlingsansvarlig for med behandlingens formål og behandlingsgrunnlag i henhold til personopplysningsloven § 14, jf. personopplysningsforskriften § 3-1.
Frist for å gjennomføre pålegget settes til 27. februar 2017.
Vi fatter også følgende vedtak med hjemmel i personopplysningsloven § 46 første ledd:
Nobina Norge AS pålegges å betale til statskassen et overtredelsesgebyr pålydende kr. 100.000 – hundre tusen kroner – for å ha sammenstilt GPS-data og innleverte timelister uten et rettslig grunnlag, jf. personopplysningsloven § 11 bokstav a), jf. § 8, og i strid med formålsprinsippet, jf. personopplysningsloven § 11 bokstav c.»
Nobina klaget over det ilagte overtredelsesgebyret 8. mars 2017. Datatilsynet vurderte klagen og opprettholdt sitt vedtak.
Personvernnemnda mottok saken 22. november 2017. Nobina ga ytterligere kommentarer til saken i brev 13. desember 2017. YTF ga sine kommentarer i brev 22. februar 2018.
3 Nobina Norge AS’ anførsler
Det er ikke rettslig grunnlag for å ilegge overtredelsesgebyr. Subsidiært anføres det at det ilagte gebyret er for høyt.
Det er gjennomført drøftinger av kontrolltiltaket med de tillitsvalgte slik Hovedavtalen og arbeidsmiljøloven kapittel 9 forutsetter, jf. protokoll signert 28.08.14. Saken skiller seg således fra de sakene Datatilsynet har vist til, herunder Rt-2013-143 (heretter «Avfallsservice-saken»). Det er i protokollen åpnet for relativt omfattende kontrolltiltak for å avdekke blant annet «pliktbrudd», herunder skjult utredning. Å kreve overtid for et arbeid som ikke er utført er utvilsomt et pliktbrudd. En kontroll av solgte billetter er åpenbart omfattet av opplistingen av mulige kontrolltiltak.
De tillitsvalgte og Nobina har i fellesskap forpliktet seg til å informere de ansatte om tiltakene, og de ansatte har også fått protokollen og har signert for å ha lest denne. Dette gjelder også for den sjåføren som fremmet det urettmessige overtidskravet som ligger til grunn for saken. Han har kvittert for at han har mottatt og gjort seg kjent med innholdet i protokollen.
Den aktuelle sjåføren ga overfor bedriften inntrykk av at han var kommet for sent frem fordi det hadde oppstått en forsinkelse. Dette var en rute som andre sjåfører normalt fullførte uten problemer. Den aktuelle sjåføren var en sjåfør som oftere enn andre sjåfører «opplevde» forsinkelser som medførte krav om overtid. Bedriften kontrollerte da når det var billettert på enkelte holdeplasser, og dette avdekket at sjåførens forklaring var uriktig og at det ikke var forsinkelser.
Datatilsynet baserer sitt vedtak på en påstand om at formålet med behandlingen ikke er uttrykkelig angitt. Klager er ikke enig i dette. Det er rent faktisk angitt at formålet er å kunne bruke de ulike virkemidlene ved mistanke om pliktbrudd. En mistanke om feilføring av overtid er et «pliktbrudd» og en billettlogg er et «underliggende system».
Datatilsynet bygger sin forståelse på at en ansatt som har til hensikt å bedra Nobina gjennom å levere et fiktivt overtidskrav skal være beskyttet fordi han etter å ha fortolket protokollen «antitetisk» skulle ha en berettiget forventning om at «underliggende systemer» ikke skulle omfatte billetteringssystemet. Forståelsen Datatilsynet her bygger på er da tilsynelatende at den ansatte skal varsles detaljert om hvilke pliktbrudd som kan avdekkes – og på hvilken måte. Dette kan en ikke se at det er grunnlag for. Så vidt en kan se er det heller ikke i personopplysningsforskriften entydig fastslått hvordan formålet skal angis. Heller ikke av Datatilsynets egen veileder «Melding om behandling av personopplysninger» fremgår det at dette må gjøres på den måte som Datatilsynet nå mener at det skal gjøres for å unngå gebyr.
Datatilsynet gjengir uriktig hvilke opplysninger som ble sammenstilt. Bedriften sammenstilte den ansattes påstand om hvor en påstått forsinkelse var oppstått med når billettene på denne holdeplassen ble solgt. Det avdekket at det ikke var noen slik forsinkelse som arbeidstaker hevdet.
Nobinas sak skiller seg fra Avfallsservicesaken slik:
- Nobina drøftet kontrolltiltak med de tillitsvalgte
- Kontrolltiltakene kan brukes til å avdekke pliktbrudd
- Kontrolltiltakene omfatter muligheten til å benytte underliggende systemer
- De ansatte er informert om dette og har signert på at de har mottatt denne informasjonen og har satt seg inn i den
Selv om nemnda skulle finne at Nobina har overtrådt personopplysningsloven bør det likevel ikke ilegges et gebyr, eventuelt bør dette reduseres betydelig.
Det vises for det første til at Nobina har drøftet kontrolltiltak med de tillitsvalgte og også har informert de ansatte, og at Datatilsynet bygger sitt vedtak på en fortolkning av protokollen.
Nobina er dessuten i en helt annen økonomisk situasjon enn den som har vært tilfellet i de sakene Datatilsynet har vist til. Tilsynets saksbehandler bommer når han innledningsvis skriver at negativt resultat på 13,6 millioner tilsier at «Virksomhetenes økonomiske evne må etter årsregnskapet anses som god». Heller ikke et akkumulert underskudd siste fire år på nesten 200 millioner kroner hadde noen betydning for Datatilsynets bedriftsøkonomiske vurderinger.
4 Yrkestrafikkforbundets anførsler
YTF slutter seg til Datatilsynets vedtak om at Nobina har sammenstilt opplysninger fra GPS-loggen hentet fra billettmaskinen på bussen med ansattes timelister i strid med personopplysningsloven § 11 bokstav a, jf. § 11 bokstav b, samt personopplysningsloven § 11 bokstav c. YTF mener imidlertid at bruddet er mer graverende enn hva Datatilsynet har anført, noe som har betydning for Nobinas behandlingsgrunnlag og for overtredelsesgebyrets størrelse.
Tilgang til personopplysninger på individnivå skal begrense seg til de som har saklig og tjenstlig behov for det. I tillegg skal bruken av det lagrede datamateriale være begrenset individuelt og oppfylle formålet og behovet bak uthentet informasjon. Innføring av slik datainformasjon skal også i alle tilfeller være drøftet i henhold til reglene i arbeidsmiljøloven kapittel 9.
Nobina kan ikke lovlig sammenstille GPS-data med de ansattes timelister, jf. personopplysningsloven § 11 jf. § 8. Selv om en viss form for kontroll må sies å være forventet i arbeidslivet og saklig begrunnet, er grensen i dette tilfellet overskredet.
Selv om bruken av opplysningene fra GPS-systemet anses formålstjenlig etter personopplysningsloven § 8 f, vil den ikke være lovlig. Nobinas sammenstilling av personopplysninger fra GPS-systemet og innleverte timelister, vil uansett være en behandling som er uforenlig med det opprinnelige formålet, jf. personopplysningsloven § 11 bokstav c, jf. Avfallsservicesaken.
Bedriften hjemler sammenstillingen i protokoll av 28. april 2014 og anfører at den legitimeres med bakgrunn i en konkret og begrunnet mistanke mot en enkelt arbeidstakers registrering av overtid. Det er imidlertid ikke riktig at den sammenstillingen som her er beskrevet er et engangstilfelle. Nobinas sammenstilling av de elektroniske opplysningene har vært gjentagende og har forekommet ved minst to anledninger. I faktumbeskrivelsen både fra Datatilsynet og Nobina kan det synes som at sammenstillingen kun knyttes til en spesifikk registrert ansatt i Nobina, og at behandlingsgrunnlaget hjemles i forhold knyttet til denne personen. Det er imidlertid påpekt av YTF at Nobina har sammenstilt GPS-loggen med overtidstimene også til en annen ansatt, uten at det hevdes å ha foreligget noen konkret mistanke mot henne om urettmessig fremmet overtidskrav. Vedkommende ansatt ble gitt en advarsel og en naturlig tolkning av advarselen tilsier at Nobinas sammenstilling av opplysninger ikke knyttet seg til «skjellig grunn til mistanke» om urettmessig fremmet overtidskrav, men var begrunnet i en generell etterkontroll overfor de ansattes overtidsregistrering. En slik generell adgang til sammenstilling har i alle fall aldri vært drøftet i selskapet. Dette må etter YTFs syn få betydning for vurderingen etter personopplysningsloven § 46 bokstav f. Overtredelsesgebyret bør minimum fastsettes i henhold til Datatilsynets vedtak.
Det er uriktig når bedriften hevder at det var kjent for de ansatte at data fra billettloggen ble sammenstilt med timelister ved konkret mistanke om feilføring. I henhold til tidligere informasjon i saken er Skyss oppgitt som behandlingsansvarlig for sanntidssystemet og bruk av GPS-data fra billettsystemet. Det har betydning for de ansattes forståelse av hvorvidt sammenstilling av GPS-data og timelister var drøftet den 28. august 2014. Det er grunnleggende forskjell på de tilfeller hvor det er kjent, eksempelvis i anbudskontrakten, at oppdragstaker (Nobina) også er behandlingsansvarlig for data i billettsystemet. I et slikt tilfelle vil en i beste fall kunne anføre at de ansatte var kjent med at bedriften kunne innhente data fra billettsystemet for å sammenstille timelister. Nobina var ikke behandlingsansvarlig for data fra billettsystemet etter anbudskontrakten. Basert på ovennevnte informasjon vil ikke protokollen av 28. august 2014 gi de ansatte en berettiget forventning om at bedriften ville sammenstille GPS-data vedrørende billettsystemet med timelistene. I et slikt tilfelle måtte kontrolltiltaket vært drøftet lokalt.
Nobina har brutt drøftings- og informasjonsplikten i arbeidsmiljøloven § 9-2 (1), § 9-2 (2), personopplysningsloven §§ 19 og 20 og personopplysningsforskriften § 3-1. Det faktum at de ansatte ikke er blitt informert, tilsier at kontrollen er å anse som et inngripende tiltak.
At Nobina hadde tilgang til billettloggen, endrer ikke det faktum at de ansatte ikke hadde noen berettiget forventning om sammenstilling av GPS-data og timelister med hjemmel i protokoll av 28. august 2014. Det vises til Datatilsynets vurdering av dette spørsmålet.
5 Datatilsynets vurdering
Nobina har sammenstilt opplysninger fra GPS-loggen (fra billettmaskinen på bussen) opp mot overtidsregistreringen, i strid med personopplysningsloven § 11 bokstav a), jf. § 8, samt i strid med formålsprinsippet, jf. personopplysningsloven § 11 bokstav c).
Etter personopplysningsloven § 2 nr. 4 er en behandlingsansvarlig den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes.
Når Nobina benytter seg av opplysninger fra GPS-systemet for å kontrollere sine ansatte så vil de være behandlingsansvarlige for den behandlingen.
Et viktig moment i saken er å vurdere om den aktuelle sjåføren hadde en rimelig forventning om at GPS-data fra billetteringssystemet skulle brukes til å kontrollere de innleverte timelistene, jf. Avfallsservicesaken.
Den ansatte hadde i dette tilfellet ikke en rimelig forventning om at hans GPS-data skulle sammenstilles med timelistene. I følge protokoll av 28. august 2014 var formålet med de kontrolltiltakene som da ble drøftet «å bidra til å sikre Nobina sitt grunnsikringsnivå. Kontrollen skal forebygge og avdekke avvik fra interne regler og rutiner, avklare driftsavvik, pliktbrudd og eksterne anslag. Gjennom kontrolltiltakene ønsker Nobina å øke kompetansen og personlig bevisstgjøring knyttet til sikkerhet i selskapet.» Slik tilsynet leser protokollen kan det ikke utledes at Nobina vil innføre et kontrolltiltak som innebærer at de ansattes opplysninger fra GPS-systemet og ansattes timelister kan bli sammenstilt (ved mistanke om pliktbrudd). Formålet bak Nobinas sammenstilling er, slik tilsynet forstår det, å få kontrollert om den ansatte hadde ført opp for mange timer. Kontrolltiltakene skal ifølge protokollen «dokumentere at sikkerhetsinstruksen med underliggende dokumenter blir fulgt». Formålet med behandlingen kan følgelig ikke sies å være uttrykkelig angitt i protokollen, jf. personopplysningsloven § 11 bokstav b.
Vi kan heller ikke se at Nobina har oppfylt informasjonsplikten etter §§ 19 og 20, når det ikke er gitt ytterligere informasjon til de ansatte om hvordan deres personopplysninger vil bli behandlet. At de ansatte har signert på at de er gjort kjent med de ulike dokumentene, har liten betydning, når dokumentene ikke inneholder nærmere informasjon om den aktuelle behandlingen. Nobina har heller ikke utarbeidet skriftlige rutiner om hvordan bedriften skulle behandle personopplysninger i gjennomføringen av et slikt kontrolltiltak, jf. personopplysningsloven § 14, jf. personopplysningsforskriften § 3-1.
I likhet med Høyesteretts vurdering i Avfallsservicesaken, finner vi ikke at den kontrollen (sammenstillingen) Nobina foretok kan anses som en naturlig del av den virksomheten selskapet driver.
Nobinas brudd på personopplysningsloven tilsier i dette tilfellet at det reageres med et overtredelsesgebyr, jf. personopplysningsloven § 46. Nobina har klart overtrådt et regelverk som virksomheten kjente eller burde ha kjent til. De har med vilje brukt informasjon for å oppnå et eget formål til ulempe for den ansatte. Resultatet er at den ansatte stilles overfor ensidig maktutøvelse fra en arbeidsgiver, noe reglene i personopplysningsloven og til dels arbeidsmiljøloven er ment å beskytte arbeidstakere imot.
Nobina har påberopt at deres handlinger var motivert ut ifra et ønske om å få klarhet i om den ansatte fremmet urettmessige overtidskrav. Det regelverket tilsynet håndhever skal ivareta den registrertes interesser og sørge for at behandlingsansvarlig kun behandler personopplysninger innenfor de rammene loven tillater. Sammenstillingen av GPS-loggen opp mot timelistene var ikke transparent, kjent eller forståelig for den registrerte. Nobinas sammenstilling av opplysninger representerte en behandling som var uforenlig med det opprinnelige formålet, dvs det foreligger brudd på formålsprinsippet (finalitéprinsippet).
Nobina har i klagen anført at man for regnskapsåret 2016 hadde et negativt resultat på 13,6 millioner kr, og et akkumulert underskudd på nesten 200 millioner for de siste fire årene.
Tilsynet har lagt til grunn at virksomhetens økonomiske evne etter årsregnskapet 2016 er god. I vurderingen la tilsynet vekt på at Nobina omsatte for 909 999 000 for regnskapsåret 2016, og at man hadde en egenkapital på over 27 millioner. Tilsynet er derfor av den oppfatning at Nobina har en god økonomisk (forutsetning) evne til å kunne betale det ilagte overtredelsesgebyret og at det ikke er forhold ved bedriftens økonomi som tilsier en reduksjon av gebyret.
Overtredelsesgebyrets størrelse er i tråd med tilsynets praksis. Det vises i den sammenheng til Personvernnemndas behandlinger i sakene PVN-2015-08 (Windsor Door), PVN-2016-06 (Vaktmester Andersen) og PVN-2017-07 (Feiring Bruk).
6 Personvernnemndas syn
Spørsmålet for nemnda er om Nobina Norge AS skal ilegges et overtredelsesgebyr for å ha behandlet personopplysninger i strid med personopplysningsloven, jf. personopplysningsloven § 46. Ved avgjørelsen av om Nobina skal ilegges gebyr, må det først tas stilling til om Nobinas behandling av personopplysningene var i strid med loven. Dersom dette besvares bekreftende, må det vurderes om det skal ilegges gebyr og i tilfelle hvilket beløp.
Det stilles etter rettspraksis krav om klar sannsynlighetsovervekt for å ilegge sanksjoner som har karakter av straff etter EMK art. 6, jf. Rt-2008-1409 og Rt-2012-1556. Det innebærer at ileggelse av overtredelsesgebyr etter personopplysningsloven § 46 forutsetter klar sannsynlighetsovervekt ved vurderingen av bevisene, både når det gjelder objektive og subjektive forhold.
Etter personopplysningsloven § 3 bokstav a gjelder loven for «behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler». Med personopplysninger menes «opplysninger og vurderinger som kan knyttes til en enkeltperson», jf. § 2 nr. 1. Opplysningene om kundetransaksjoner (hvor og når passasjerer har kjøpt billett) gir ingen uttrykkelige opplysninger om bussjåføren, men i og med at Nobina visste hvem som var sjåfør på den aktuelle bussen, kan opplysningene om kundetransaksjoner knyttes til ham, og utgjør dermed personopplysninger. At det å sammenstille opplysningene om de registrerte billettkjøpene med bussjåførens innleverte krav på overtidsbetaling omfattes av uttrykket «behandling», følger av § 2 nr. 2: Med «behandling» av personopplysninger menes «enhver bruk» av dem for eksempel «innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter».
Personvernnemnda legger, som Datatilsynet, til grunn at Nobina er behandlingsansvarlig for den behandlingen av personopplysninger som innebar en sammenstilling av opplysninger fra GPS-systemet (opplysninger om tidspunkt for kundetransaksjoner) og sjåførens timelister (opplysninger om bussforsinkelser som grunnlag for krav på overtidsbetaling).
Det er oppgitt at det opprinnelige formålet med å innføre billetteringssystemet Atries var drift og administrasjonsoppgaver, herunder å kontrollere kundenes transaksjoner, samt bussens posisjon av praktiske og sikkerhetsmessige årsaker. Ved å sammenstille opplysninger om tidspunkter for kundetransaksjoner med de ansattes innsendte krav på overtid, brukes opplysningene til et annet formål enn det opprinnelige. Etter personopplysningsloven § 11 første ledd bokstav c skal den behandlingsansvarlige sørge for at personopplysningene som behandles
«ikke brukes til senere formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker.»
Personvernnemnda legger til grunn at personopplysningsloven § 11 første ledd bokstav c oppstiller et tilleggskrav for å bruke allerede innsamlede opplysninger til et annet enn det opprinnelige formålet, jf. Rt-2013-143 med henvisning til Ot.prp.nr.92 (1998-1999) Om lov om behandling av personopplysninger, side 112-113. Det betyr at gjenbruk av innsamlede opplysninger til et annet formål enn hva de opprinnelig ble innsamlet for, ikke kan forankres alene i § 8 bokstav f eller alene i § 11 første ledd bokstav c. Bruken av opplysningene må ha grunnlag både i § 11 første ledd bokstav c og § 8 bokstav f, for å være lovlig.
Nemnda vil først ta stilling til om den aktuelle behandlingen av personopplysninger er tillatt etter § 11 første ledd bokstav c.
Personvernnemnda legger til grunn at de to ansatte som er omtalt i denne saken ikke har gitt et samtykke til at opplysninger om kundetransaksjoner (tidspunkter for billettkjøp) ble sammenstilt med deres timelister og innsendte krav på overtid, jf. personopplysningsloven § 2 nr. 7. Det vises til lovforarbeidene, hvor det fremgår at et samtykke
«…i utgangspunktet [må] gis av den registrerte selv. […] Et kollektivt samtykke, f.eks et samtykke av en organisasjon på vegne av alle medlemmene, vil bare unntaksvis være tilstrekkelig, jf utredningen s. 133.» (Ot. prp. nr. 92 (1998-99) side 103).
Og videre at
«Et «kollektivt» samtykke, f.eks slik at en organisasjon samtykker på vegne av alle medlemmene, vil i utgangspunktet ikke tilfredsstille kravet med mindre omstendighetene rundt innmeldingen i organisasjonen gjør at innmeldingen i seg selv tilfredsstiller kravet til samtykke (dvs slik at det tydelig fremgår at innmelding medfører behandling av personopplysninger, og innmeldingserklæringen er informert)» (NOU 1997:19 Et bedre personvern, side 133).
Spørsmålet blir etter dette derfor om formålet med behandlingen var «uforenlig» med det opprinnelige formålet. Nemnda vil for sin vurdering ta utgangspunkt i de momentene som er fremhevet i forarbeidene, jf. Rt-2013-143 (53-54).
I Ot.prp.nr.92 (1998-1999) Om lov om behandling av personopplysninger, side 113, sier departementet:
«Hvor mye som skal til før det nye behandlingsformålet er uforenlig med det opprinnelige formålet for innsamlingen av opplysningene, kan ikke reguleres uttømmende i loven. Spørsmålet må vurderes konkret og individuelt. Sentrale momenter i vurderingen vil være om bruk av opplysningene innebærer ulemper for den registrerte, om bruken skiller seg sterkt fra den som lå til grunn for innsamlingen, eller om bruken stiller strengere krav til datakvalitet enn det opprinnelige innsamlingsformålet.»
Nemnda legger til grunn at bruken av opplysningene til å kontrollere rettmessigheten av de ansattes fremsatte overtidskrav er et helt annet formål enn normale drift- og administrasjonsoppgaver (herunder kundenes transaksjoner, samt bussens posisjon av praktiske og sikkerhetsmessige årsaker), som var det opprinnelige formålet med innføringen av billetteringssystemet Atries. Kravet til datakvalitet skiller seg imidlertid ikke vesentlig fra hverandre for de to ulike bruksmåtene. Det sentrale momentet slik nemnda ser det, er hvilken ulempe den nye bruken av opplysningene representerer for de ansatte.
Nemnda legger til grunn at generell overvåking i arbeidslivet vil være en belastning, ikke bare for den som har noe å skjule, men også for den som ikke har noe å skjule, jf. Rt-2013-143 (56) med henvisning til NOU 2009:1 Individ og integritet, side 22, hvor det heter:
«Personvernkommisjonen mener at det å bli overvåket i sitt daglige virke vil oppfattes som en belastning for de fleste. Dersom opplysningene som innhentes ved slik overvåkning i tillegg blir brukt til andre formål enn de opprinnelig var beregnet for, og andre formål enn dem man har fått informasjon om, øker belastningen og følelsen av overtramp mot den personlige integritet.»
Personvernnemnda har i den videre drøftelsen delt seg i et flertall og et mindretall.
Personvernnemndas flertall (medlemmene Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold og Ellen Blinkenberg) legger, i likhet med Høyesteretts vurdering i Avfallsservicesaken, til grunn at den kontrollen av ansatte som vår sak gjelder ikke ligger i kjernen av det som Personvernkommisjonen omtaler som «å bli overvåket i sitt daglige virke.» For det første viser flertallet til at det dreier seg om sammenstilling av opplysninger som utelukkende var knyttet til de ansattes arbeidsoppgaver (opplysninger om tidspunkter for billettransaksjoner sammenstilt med de ansattes innsendte opplysninger om forsinkelser på bussruta). Det dreide seg med andre ord ikke om opplysninger av privat eller personlig karakter. Videre viser flertallet til at det ikke dreier seg om noen systematisk kontroll av hvor de ansatte/bussen befant seg til enhver tid, men en kontroll som ble utløst av at ansatte fremsatte krav om overtid som følge av forsinkelser på bussruta. For den ene sjåføren (som denne saken opprinnelig gjaldt da YTF henvendte seg til Datatilsynet i august 2015) har Nobina opplyst «at dette var en sjåfør som ved flere tilfeller krevde overtid på skift andre sjåfører klarte å fullføre innen ordinær arbeidstid». Den gjennomførte kontrollen var derfor basert på en mistanke om at den aktuelle sjåføren rapporterte uriktig om bussens forsinkelser. Det foreligger ingen tilsvarende opplysninger om den andre sjåføren, som ble bragt inn i saken av YTF på et senere tidspunkt. Nobina har ikke kommentert nærmere bakgrunnen for denne kontrollen og det fremgår heller ikke av Datatilsynets vedtak hvilket faktum som legges til grunn her. Med det beviskravet rettspraksis oppstiller (klar sannsynlighetsovervekt) er det ikke holdepunkter for å legge til grunn verken at Nobina driver med systematisk kontroll av bussjåførenes tidsbruk, eller at kontrollene iverksettes tilfeldig, uten noen form for mistanke. Det er opplyst at man i Nobina lokalt ble enige om å forlenge avslutningstiden for enkelte nattbussruter i 2013, etter å ha konstatert hyppige forsinkelser og overtid på disse rutene. Avslutningstiden ble etter dette forlenget med 15 minutter, med den følgen at det etter dette sjelden ble behov for overtid.
Denne saken skiller seg, slik flertallet ser det, fra Avfallsservicesaken på et sentralt punkt, nemlig ved vurderingen av om bruken av opplysningene lå innenfor de ansattes rimelige forventninger om hva opplysningene kunne brukes til. I forbindelse med at Nobina utarbeidet ny sikkerhetsinstruks høsten 2014, vurderte ledelsen at det også skulle iverksettes kontrolltiltak på arbeidsplassen. Dette ble drøftet med de hovedtillitsvalgte i YTF og NTF og hovedverneombudet, slik det fremgår av protokollen av 28. august 2014, referert foran. Drøftelsesprotokollen ble utlevert til samtlige ansatte i desember 2014. Det fremgår av protokollen at formålene med kontrolltiltakene blant annet var å «forebygge og avdekke avvik fra interne regler og rutiner», samt «å avklare driftsavvik, pliktbrudd og eksterne anslag». I samme protokoll er aktuelle kontrolltiltak oppgitt blant annet slik: «Det kan gjennomføres forhåndsvarslede revisjoner og uanmeldte kontroller av sikkerhetsinstruksen og underliggende dokumenter og systemer». Nemndas flertall er enig med Nobina i at den sammenstillingen av personopplysninger som fant sted (at tidspunkt for billettsalg ble sammenholdt med den ansattes oppgitte forsinkelse på bussruta) faller innenfor de kontrolltiltakene som er beskrevet i protokollen. Selv om det konkrete kontrolltiltaket ikke er beskrevet i den forstand at det eksplisitt er uttalt hvilke opplysninger fra underliggende systemer som kan benyttes, mener nemnda at formålet er tilstrekkelig angitt, i tråd med kravet («uttrykkelig angitt») i § 11 bokstav b. Flertallet bemerker at informasjonen til de ansatte om hvilke opplysninger som kunne brukes på hvilken måte, med fordel kunne vært mer detaljert. Informasjonen anses likevel, under noe tvil, tilstrekkelig. Nemndas flertall har etter dette kommet til at den aktuelle bruken av personopplysningene kunne forankres i personopplysningsloven § 11 første ledd bokstav c og at formålet var tilstrekkelig angitt i drøftelsesprotokollen jf. § 11 bokstav b.
Personvernnemndas flertall går etter dette over til å vurdere om behandlingen har behandlingsgrunnlag i § 8 bokstav f. Etter denne bestemmelsen er behandlingen av personopplysningene bare lovlig dersom behandlingen er nødvendig for å ivareta den behandlingsansvarliges berettigede interesse og hensynet til den registrerte ikke overstiger denne interessen. Lovbestemmelsen oppstiller et selvstendig krav for at behandlingen skal være lovlig i tillegg til kravene i § 11 bokstav c, jf. Rt-2013-143. Vurderingen etter denne bestemmelsen, og hvilke momenter som skal vektlegges, er likevel dels sammenfallende med momentene som vurderes etter § 11 bokstav c, jf. Rt-2013-143, avsnitt 64 – 67. Nemndas flertall har funnet det mest hensiktsmessig å ta hovedtyngden av denne drøftelsen under § 8 bokstav f, for å inngå dobbeltbehandling.
I Ot.prp.nr.92 (1998-1999) Om lov om behandling av personopplysninger, side 113 (fortsettelsen av det som er sitert ovenfor), heter det:
«Et eksempel på formål som ofte vil være uforenlig med innsamlingsformålet, er bruk av opplysningene til kontrollformål, særlig når kontrollen ikke er en naturlig del av den virksomhet den behandlingsansvarlige driver, eller når ubehaget for den registrerte ikke står i et rimelig forhold til fordelene kontrolløren oppnår.»
Dette prinsippet er også kommet til uttrykk i arbeidsmiljøloven § 9-1 første ledd og gir på samme måte som personopplysningsloven § 8 bokstav f uttrykk for at det må gjøres en interesseavveining.
Det hadde i dette tilfellet vært et problem med hyppige krav på overtid på enkelte bussruter, og arbeidstiden var som følge av dette blitt utvidet. Når det igjen dukket opp krav om overtid som følge av forsinkelser, til tross for at arbeidstiden var forlenget, og kravene i hovedsak ble fremsatt av noen få sjåfører, hadde arbeidsgiver en berettiget interesse i å få avdekket om dette var rettmessige krav. Det dreide seg ikke om noen systematisk kontroll, og kontrollen ble kun iverksatt som følge av at sjåførene innleverte et krav på overtid på grunn av påstått forsinkelse på bussruta. Arbeidsgiver mistenkte at den oppgitte forsinkelsen ikke stemte med virkeligheten, noe som ble bekreftet da kontrollen ble gjennomført. Nemndas flertall kan ikke se at det var andre måter arbeidsgiver kunne avdekket de to ansattes illojalitet på. Nemndas flertall legger også til grunn at fremgangsmåten angitt i arbeidsmiljøloven § 9-1 og § 9-2 ble fulgt.
Flertallet er enig med Nobina i at behandlingen var nødvendig for å ivareta arbeidsgivers berettigede interesse i dette tilfellet, og at de registrertes interesse ikke overstiger denne interessen, jf. § 8 bokstav f. I og med at den beskrevne behandlingen av personopplysninger har vært lovlig, skal det ikke ilegges gebyr.
Personvernnemndas mindretall (medlemmene Gisle Hannemyr og Petter Bae Brandtzæg) er kommet til et annet resultat. I likhet med flertallet legger mindretallets høyesteretts avgjørelse Rt-2013-143 (Avfallsservicesaken) til grunn. Mindretallet mener videre at for at behandlingen skal være lovlig, må den være tillatt etter personopplysningsloven § 11 første ledd bokstav c.
Slik mindretallet se det, følger det av Avfallsservicesaken at lovligheten av behandlingen følger direkte av hvorvidt selskapets sjåfører, med utgangspunkt i at de har fått seg forelagt protokoll av 28. august 2014, skulle ha «rimelige forventninger» om at den GPS-logg som ble produsert av billettmaskinen skulle brukes til å kontrollere førte overtidstimer.
I Avfallsservicesaken konkluderte høyesterett med selskapet ikke hadde opplyst til de ansatte om at systemet skulle brukes til kontrollformål, og at selskapets behandling derfor ikke kunne være tillatt etter personopplysningsloven § 11 første ledd bokstav c. Samtidig uttaler høyesterett:
«Det ville neppe ha vært i strid med personvernloven om rapporteringssystemet for fremtiden ble brukt i kontrolløyemed – forutsatt at gjeldende saksbehandlingsregler ble fulgt, herunder at det ble gitt dekkende informasjon til de ansatte om formålet.»
Høyesterett drøfter imidlertid ikke hva som ligger i begrepet «dekkende informasjon».
Mindretallet finner det her nødvendig å bemerke at foreliggende sak skiller seg fra Avfallsservicesaken på et for mindretallet vesentlig punkt:
Den GPS-loggen som ble benyttet når pliktbrudd ble avdekket i Avfallsservicesaken er en logg som blir produsert av bilens GPS-navigasjonssystem. Navigasjonssystemet er klart synlig for sjåføren i form av en skjerm på dashbordet. Videre har sjåføren instruks om at han skal benytte knapper som er en del av dette GPS-systemet til å rapportere tilbake til kontoret om tømming av søppeldunker. Sjåføren samhandler altså hele tiden med dette GPS-systemet og bevisstgjøres gjennom slike handlinger om eksistensen av et slikt registreringssystem. Så lenge arbeidstaker er seg bevisst at en slik GPS-logg eksisterer, er det rimelig at lista for hva som utgjør «dekkende informasjon» kan legges forholdsvis lavt.
I den foreliggende sak blir GPS-loggen generert automatisk av en GPS-sensor som er innebygget i billetteringssystemet Atries. Atries ble innført av Nobina i 2005, og det vites ikke om Nobinas sjåfører noensinne har fått opplysninger om at billetteringssystemet inneholder en GPS-sensor, hva slags data sensoren produserer, eller hvem som har tilgang til disse dataene.
I motsetning til i Avfallsservicesaken er GPS-systemet ikke synlig for sjåføren, og det påkaller heller ikke oppmerksomhet ved at sjåføren samhandler med det.
I protokollen av 28. august 2014, som ledelsen mener gir «dekkende informasjon til de ansatte om formålet» blir verken billetteringssystemet Atries, GPS-sensorer eller automatisk logging nevnt med et ord. Informasjonen som ble gitt har følgende ordlyd:
«Det kan gjennomføres forhåndsvarslede revisjoner og uanmeldte kontroller av sikkerhetsinstruksen og underliggende dokumenter og systemer.»
I en moderne næringsvirksomhet finnes det etter alt å dømme tusenvis av «underliggende dokumenter og systemer» som inngår i den daglige driften. Og det skjer stadig en videre innbygging av skjulte sensorer i ymse «underliggende systemer» (dette kalles for «tingenes internett»), slik det hele tiden blir flere og flere sensorer som samler inn data om oss uten at vi nødvendigvis kjenner til at dette skjer.
For at en arbeidstaker skal kunne forholde seg til informasjon om det skal iverksettes kontrolltiltak på arbeidsplassen, bør det være en forutsetning arbeidstakeren har kunnskap om hvilke persondata om ham eller henne som samles inn for kontrollformål. I den foreliggende sak er det ingen ting som tyder på at den registrerte på noe tidspunkt har blitt informert om at det samles inn GPS-data om den registrerte gjennom en automatisk og usynlig GPS-sensor som inngår i billetteringssystemet Atries.
Mindretallet mener derfor at i den foreliggende sak er informasjonen som er å finne i den protokoll som har blitt forelagt den registrerte, ikke gir dekkende informasjon til de ansatte om formålet, og følgelig: at behandlingen ikke kan være tillatt etter personopplysningsloven § 11 første ledd bokstav c.
Mindretallet vil tilføye at det ville neppe ha vært i strid med personopplysningsloven å benytte GPS-sensorene i Atries for kontrollformål – forutsatt at den behandlingsansvarlige av eget tiltak hadde informert den registrerte om hvilke opplysninger om vedkommende som samles inn, jf. personopplysningsloven § 20. I dette tilfellet ville det verken vært umulig eller uforholdsmessig vanskelig for arbeidsgiver å ha gitt et slikt varsel. Nobinas behandling av personopplysningene er derfor også i strid med personopplysningsloven § 20.
Mindretallet vil bemerke at det hersker i dag stor usikkerhet knyttet til den enorme utviklingen av sensor- og sporingsteknologi og hvordan denne utviklingen vil påvirke arbeidstageres personvern. Innenfor miljøretten er det i dag akseptert at føre-vare prinsippet skal legges til grunn ved utøving av offentlig myndighet. Prinsippet innebærer at når menneskelig aktivitet og/eller teknologisk utvikling kan føre til moralsk uakseptabel skade som er vitenskapelig sannsynlig, men usikker, så skal forvaltningen treffe vedtak for å unngå eller minske skaden. Kontrolltiltak og overvåkning i arbeidslivet ved hjelp av sporings- og sensorteknologi kan fort komme ut av kontroll og føre til irreversible endringer i arbeidslivet som igjen vil true arbeidsmiljøet til fremtidens ansatte. Uten at det har betydning for mindretallets konklusjon i den foreliggende sak, mener mindretallet at disse teknologiske endringene, og hva de innebærer for partene i arbeidslivet, bør drøftes prinsipielt (adskilt fra den aktuelle saken for nemnda), og at det i den sammenheng også bør vurderes hvorvidt føre-var-prinsippet skal gjøres gjeldene for behandling av persondata hentet inn ved hjelp av sensor- og sporingsteknologi i arbeidslivet.
Vedtakets punkt 7 er utformet i tråd med flertallets syn.
7 Vedtak
Klagen tas til følge.
Oslo, 20. mars 2018
Mari Bø Haugstad
Leder