Personvernnemndas vedtak 14. oktober 2019 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Ellen Økland Blinkenberg, Hans Marius Tessem)
Saken gjelder klage fra A på Datatilsynets vedtak 11. juli 2018 om ikke å pålegge retting eller sletting av personopplysninger i hennes personalmappe hos arbeidsgiver.
Sakens bakgrunn
A jobber som sekretær hos arbeidsgiver, ansatt i 2007. Hun er involvert i en pågående arbeidskonflikt med ledelsen som har vart i flere år (fra 2015). I forbindelse med arbeidskonflikten har det vært møtevirksomhet hos arbeidsgiver, og det har blitt lagret informasjon i As personalmappe.
I august 2017 fikk A innsyn i personalmappen sin, og oppdaget da at arbeidsgiver har lagret en rekke opplysninger om henne siden 2015, noe hun var ukjent med fram til da. A ønsker disse opplysningene slettet fordi hun mener de er konstruerte og uriktige.
A kontaktet Datatilsynet 3. januar 2018 og ba om bistand til å få slettet opplysningene, herunder en rekke dokumenter, fra sin personalmappe.
Datatilsynet ba arbeidsgiver 17. april 2018 om en redegjørelse i saken. I brev til Datatilsynet 9. mai 2018 redegjorde arbeidsgiver blant annet for formålet med å lagre As personopplysninger videre, hvordan og hvor lenge opplysningene lagres og hvem som har tilgang til dem. Arbeidsgiver framla samtidig dokumentasjon på dokumenthåndtering og tilgangskoder.
Datatilsynet konkluderte i vedtak 11. juli 2018 med at det ikke var grunnlag for å pålegge arbeidsgiver å slette de aktuelle dokumentene i As personalmappe, jf. personopplysningsloven 2000 § 28.
A framsatte rettidig klage på Datatilsynets vedtak 7. august 2018. Datatilsynet vurderte klagen etter den nye personopplysningsloven 2018 og personvernforordningen (GDPR), men fant ikke grunnlag for å endre sitt vedtak. Saken ble oversendt til Personvernnemnda som mottok saken 12. juni 2019. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer. Ingen av partene har gitt noen kommentarer.
Saken ble behandlet i nemndas møte 14. oktober 2019. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Gisle Hannemyr, Hans Marius Tessem og Ellen Økland Blinkenberg. Nemndas sekretær, Anette Klem Funderud var også tilstede.
As syn på saken i korte trekk
Personalmappen hennes inneholder en logg fra 2015 hun ikke fikk kjennskap til før i august 2017. Loggen inneholder konstruerte og uriktige opplysninger om henne og skaper et dårlig bilde av henne som person og arbeidstaker. Hun opplever dette som belastende.
Hun er ikke kjent med hvem som har bedt leder om å føre en slik logg, og hun reagerer på at hun ikke ble informert underveis om hva som ble lagret i personalmappen. Opplysningene i loggen er basert på anonyme og uverifiserte beskyldninger som hun har liten mulighet til å forsvare seg mot. I loggen står det blant annet også at hennes nærmeste kollega er så redd henne at kollegaen nesten ikke klarer å gå på jobb. Hun var ikke informert om at kollegaen hadde det slik, og ledelsen gjorde ikke noe for å rydde opp i det.
Arbeidsgiver har laget en personalsak uten bevis. Arbeidsgivers logg er veldig lite relevant uten at det også foreligger bevis for det som skrives der. Loggen er preget av synsing og gjetting.
Personopplysningene er lagret i arkivsystemet Ephorte som hele personalavdelingen har tilgang til, til og med den inhabile juristen. Ingen kunne svare på om det ble logget hvem som var inne og leste i As mappe. A er ikke kjent med hvor lenge opplysningene skal lagres. Hun ønsker loggen slettet og tilgangen til personalmappen begrenset.
Hun ble ikke opplyst om hva som har blitt lagret i personalmappen før hun ba om innsyn. Loggen ble oppbevart på daværende leders PC og sendt ut til flere mottakere på e-post da lederen sluttet.
As varsel om dårlige arbeidsforhold til administrerende direktør ble videresendt til personalavdelingen, der alle har tilgang til hennes personalmappe. Det kan ikke være riktig at varslingssaker skal behandles av personalavdelingen, der alle har tilgang.
Arbeidsgivers syn på saken i korte trekk
Det har vært en pågående sak mellom A og arbeidsgiver over flere år. Arbeidsgiver anser det som nødvendig å oppbevare sakens dokumenter inntil saken(e) er avsluttet fra arbeidsgiver og arbeidstakers side. Med bakgrunn i at arbeidsgiver stadig får nye henvendelser i saken, sist fra Datatilsynet, bekrefter dette nødvendigheten av å fortsatt oppbevare sakens dokumenter.
Alle dokument arkiveres i vårt arkivsystem Ephorte. Personalmapper (P) er tilgjengelig for ansatte i HR-seksjonen. Her arkiveres arbeidsavtaler, med tilhørende dokument. Personalsaker så som konflikt, advarsel, varsling arkiveres i egne saksmapper og blir tilgangsstyrt ved å klassifisere som meget sensitiv personalsak (kode PS). Hver sak får unikt saksnummer og inneholder all korrespondanse i samme sak. I disse tilfellene er det saksbehandler samt leder i HR-seksjonen som har tilgang til saksmappen. Arbeidsgiver følger gjeldende lov og forskrift når det gjelder informasjonssikkerhet og tilgangskontroll.
Arbeidsgiver må så lenge saken(e) ikke er avsluttet beholde relevante personalopplysninger. Arbeidsgiver vurderer også at det vil være nødvendig å lagre personopplysninger etter saken(e) er avsluttet for å kunne dokumentere tidligere forhold da disse vil kunne være relevante ved en evt. senere personalsak, jfr. personopplysningsloven § 28 tredje ledd.
Arbeidsgiver har ikke mottatt krav fra A om sletting. A har imidlertid vært uenig i innholdet i enkelte dokumenter noe som anses som naturlig som en del av en konflikt. Dette fremkommer blant annet i møtereferat, og innsendte dokument fra klager, alt arkivert i saksmappen i Ephorte.
Dokumentene knyttet til As klage er arkivert i egen mappe; personalsak (PS), ikke i personalmappen (P). Informasjon/dokument innhentet fra leder er arkivert i forbindelse med oppfølging av klage/forberedelse av saken med advokater. Det er ikke kjent om A har blitt muntlig eller skriftlig orientert om dette da det har vært flere som har representert A. I tillegg har det har vært utskiftinger av personalrådgivere/leder. Den aktuelle loggen er leders oppsummering/notater og dokumentasjon i forbindelse med oppfølging av ansatte. Det antas at dette er opplysninger A er kjent med da hun har vært en del av oppfølgingen. Ut over dette har ikke A blitt informert om registreringer.
A svarte høsten 2016 på en mail utsendt fra administrerende direktør i forbindelse med en arbeidsmiljøundersøkelse. Det fremkom av e-posten at hun ønsket å varsle. E-posten inneholdt mange opplysninger om ulike påståtte hendelser/saker/oppfatninger, og det var utfordrende å finne ut hva A ønsket å varsle om. A ble derfor bedt om å gi en avklaring og konkretisering av hva hun ønsket å varsle om i brev fra arbeidsgiver i mars 2017, og i møter 12. juni, 2. november og 5.desember 2017. A har også blitt informert om rutiner og saksgang knyttet til varsling, og fått oversendt skriftlige rutiner for varsling, samt skjema for varsel. Arbeidsgiver har siden da ikke mottatt verken skjema, eller annet muntlig eller skriftlig varsel.
Datatilsynets vurdering
Datatilsynet traff sitt vedtak i juli 2018 basert på personopplysningsloven 2000. Ved oversendelse av saken til nemnda i juni 2019 har tilsynet foretatt en ny vurdering av klagen basert på de nye reglene i personopplysningsloven 2018 og GDPR. Det er Datatilsynets vurdering basert på någjeldene lov som gjengis her.
Datatilsynet legger for sin vurdering til grunn at opplysningene som fremgår av den aktuelle loggen ikke inneholder formelle advarsler til A fra arbeidsgiver, men ulike typer nedtegnelser og referater fra møter som inngår i et sakskompleks. Loggen inneholder heller ikke særskilte kategorier opplysninger, jf. GDPR artikkel 9.
Retten til retting
Det er et grunnleggende personvernprinsipp, jf. GDPR artikkel 5 nr. 1 bokstav d, at personopplysninger skal være korrekte og om nødvendig oppdatert. Denne plikten er utdypet i retten til retting i GDPR artikkel 16. Det følger videre av fortalen til GDPR punkt 39 at ethvert rimelig tiltak bør treffes for at uriktige personopplysninger korrigeres.
Når det gjelder opplysninger som er objektivt sett uriktige som for eksempel navn, adresse, alder eller lignende vil det være mest nærliggende å erstatte objektivt sett riktige opplysninger. Dersom det er uenighet om riktigheten av mer skjønnsmessige vurderinger og opplysninger om den registrerte, vil det adekvate alternativet som regel være supplering. Den registrerte bør få registrert sine innsigelser eller mening på en tydelig måte som lagres på samme sted som de opprinnelige opplysningene slik at det fremgår at det er uenighet om de aktuelle forholdene.
I denne saken har ikke Datatilsynet mulighet til å ta stilling til om de aktuelle opplysningene er korrekte eller ikke. Tilsynet legger til grunn at det er mest hensiktsmessig med en supplering av opplysninger siden opplysningene bærer preg av å være vurderinger det er uenighet om, og at det framkommer av det totale sakskomplekset at det foreligger ulike syn i saken.
Retten til sletting
GDPR artikkel 17 i regulerer retten til sletting, og fastslår i bestemmelsens nr. 1 bokstav a at den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold dersom personopplysningene ikke lenger er nødvendige for formålet som de ble samlet inn eller behandlet for.
GDPR artikkel 17. nr. 3 åpner for rekke unntak fra retten til sletting. Det følger blant annet av artikkel 17 nr. 3 bokstav e at personopplysningene fortsatt kan lagres dersom det er nødvendig «for å fastsette, gjøre gjeldende eller forsvare rettskrav». I dette ligger det at det kan være nødvendig for arbeidsgiver å lagre personopplysningene dersom det kan oppstå rettslige spørsmål etter at arbeidsforholdet er avsluttet.
Det avgjørende for As rett til å kreve sletting vil dermed være om arbeidsgivers behandling av de aktuelle personopplysningene er i tråd med de vilkårene som fremgår av personvernforordningen.
Kravet til behandlingsgrunnlag er regulert i GDPR artikkel 6. I denne saken er formålet med behandlingen av opplysninger personaladministrasjon og oppfølging av en pågående arbeidskonflikt. Det er artikkel 6 nr. 1. bokstav f, som er det aktuelle behandlingsgrunnlaget i denne saken.
Spørsmålet er om behandling av opplysningene fortsatt er «nødvendig for formålet som de ble samlet inn eller behandlet for». Datatilsynet er i utgangspunktet noe tilbakeholden med å overprøve arbeidsgivers vurdering i denne type saker, så lenge lagringen fremstår som rimelig og forsvarlig.
I denne saken er arbeidskonflikten fortsatt pågående. Arbeidsgivers formål med fortsatt lagring av opplysningene i denne saken er å håndtere en pågående arbeidskonflikt, og å kunne dokumentere hva som har skjedd i saken.
Datatilsynet legger derfor til grunn at fortsatt lagring er nødvendig for formålet de er samlet inn og behandlet for. Fortsatt lagring vil også kunne begrunnes i artikkel 17 nr. 3 bokstav e om at personopplysningene fortsatt kan lagres dersom det er nødvendig for å for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Datatilsynet mener at vilkårene for sletting ikke er oppfylt og at arbeidsgiver således kan fortsette å behandle opplysningene.
Personopplysningssikkerhet
Arbeidsgiver har i denne saken redegjort for praksis rundt håndtering av personalmapper. De aktuelle opplysningene er lagret under koden PS, som er personalsaker som konflikt, advarsel og varsling. Denne typen saker arkiveres i egne saksmapper og blir tilgangsstyrt ved å klassifiseres som meget sensitiv personalsak. Det ser saksbehandler samt leder i HR-seksjonen som har tilgang til saksmappen.
Datatilsynet mener at arbeidsgivers oppbevaring av opplysningene framstår som forsvarlig og har ikke grunnlag for å si at det foreligger brudd på reglene om personopplysningssikkerhet.
Når det gjelder anførslene om konfidensialitet, håndtering av varsling og manglende opplysning om at det ble ført logg og at den ble lagret i personalmappen, så kan ikke Datatilsynet se at dette er tilstrekkelig underbygget. Saken er kompleks og med mange aktører og det er derfor vanskelig for Datatilsynet å vurdere hvem som har hatt og skulle ha hatt tilgang til opplysningene, samt hvordan det har blitt underrettet om prosessen. På bakgrunn av redegjørelsen fra arbeidsgiver fremstår de kompenserende tiltak som tilstrekkelige.
Personvernnemndas vurdering
Nemnda skal ta stilling til om personopplysninger lagret i As personalmappe hos arbeidsgiver skal rettes eller slettes, samt vurdere hvorvidt arbeidsgiver har brutt personopplysningslovens bestemmelser om konfidensialitet og informasjonssikkerhet.
A omtaler de registrerte opplysningene som en «logg». Nemnda har vært i kontakt med arbeidsgiver for å få oversendt den aktuelle loggen. Arbeidsgiver har opplyst at det ikke dreier seg om noen «logg», men en sammenstilling av notater som arbeidsgiver har foretatt for å sikre nødvendig oppfølging og dokumentasjon for en langvarig og kompleks sak, som har gått over mer enn 4 år. Arbeidsgiver har opplyst at det dreier seg om 77 ulike journalposter, noen på flere sider. Nemnda har ikke funnet det verken hensiktsmessig eller nødvendig å hente inn alle disse dokumentene fra As personalmappe.
Nemnda legger til grunn at arbeidsgiver har lagret en rekke dokumenter vedrørende As ansettelsesforhold, inkludert dokumenter knyttet til den pågående arbeidskonflikten mellom arbeidstaker og arbeidsgiver. Det er ingen tvil om at dette innebærer en behandling av personopplysninger og at arbeidsgiver er behandlingsansvarlig for den behandlingen av personopplysninger som skjer.
Retten til å få personopplysninger rettet
Artikkel 5 nr. 1 bokstav d fastslår at personopplysninger skal:
«være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller rettes («riktighet»).»
Retten til å få uriktige personopplysninger rettet er utdypet i GDPR artikkel 16, som lyder:
«Den registrerte skal ha rett til å få uriktige personopplysninger om seg selv rettet av den behandlingsansvarlige uten ugrunnet opphold. Idet det tas hensyn til formålene med behandlingen skal den registrerte ha rett til å få ufullstendige personopplysninger komplettert, herunder ved å framlegge en supplerende erklæring.»
Nemnda slutter seg til Datatilsynets vurdering om at det adekvate alternativet i dette tilfellet er supplering. Nemnda viser til at det dreier seg om en arbeidskonflikt hvor partene ofte har ulike vurderinger og ulikt syn på hva som er korrekt faktum. A kan få registrert sine innsigelser eller mening på en tydelig måte som lagres på samme sted som de opprinnelige opplysningene slik at det fremgår at det er uenighet om de aktuelle forholdene.
Det fremgår av referat fra arbeidsgivers møte med A 2. november 2017 at A ble oppfordret til å «skrive sitt syn i saken hvor hun påpeker hva hun mener er feil og hva hennes opplevelse er. Dette dokumentet vil da kunne legges i personalmappen som vedlegg til loggen. A vil vurdere å gjøre dette».
As krav om retting utover dette, kan etter nemndas vurdering ikke føre fram.
Retten til å få personopplysninger slettet
GDPR artikkel 17 regulerer retten til sletting. Artikkel 17 nr. 1 bokstav a og c fastslår blant annet:
«1. Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende:
a) personopplysningene er ikke lenger nødvendige for formålet som de ble samlet inn eller behandlet for
[…]
c) den registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 1, og det ikke finnes mer tungtveiende berettigede grunner til behandlingen […]»
GDPR artikkel 17 nr. 3 åpner for en rekke unntak fra retten til sletting. I forarbeidene til personopplysningsloven 2018, Prop.56 LS (2017-2018), side 65 uttaler departementet:
«Bestemmelsen gir den registrerte rett til sletting av personopplysninger på en rekke ulike grunnlag, jf. artikkel 17 nr. 1 bokstav a til f. Regelen er imidlertid i stor grad knyttet til om vilkårene for behandling av personopplysningene er oppfylt, og medfører derfor først og fremst en tydeliggjøring og ingen vesentlig utvidelse av plikten til sletting.»
Det avgjørende for As rett til å kreve sletting blir dermed om arbeidsgivers behandling av de aktuelle personopplysningene er i tråd med de vilkårene for behandling av personopplysninger som oppstilles i personopplysningsloven 2018.
De alminnelige reglene om behandlingsgrunnlag følger av GDPR artikkel 6. Artikkel 6 nr. 1 lyder slik:
«1. Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt:
- den registrerte har samtykket til behandling av sine personopplysninger for ett eller flere spesifikke formål
- behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse,
- behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige,
- behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser,
- behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,
- behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.
Nr. 1 bokstav f får ikke anvendelse på behandling som utføres av offentlige myndigheter som ledd i utførelse av deres oppgaver.»
Etter personopplysningsloven 2018 og GDPR er de alternative behandlingsgrunnlagene likestilt og behandling av personopplysninger i forbindelse med ulike former for personaladministrasjon, skjer med hjemmel i ulike behandlingsgrunnlag. Nemnda legger til grunn at de aktuelle behandlingsgrunnlagene for arbeidsgiver til å lagre dokumentene i As personalmappe er dels artikkel 6 nr. 1 bokstav c (jf. arbeidsgivers plikter etter arbeidsmiljøloven) og dels artikkel 6 nr. 1 bokstav f (nødvendig for å ivareta en berettiget interesse). Nemnda er enig med Datatilsynet i at det ikke dreier seg om personopplysninger som faller inn under den særlige kategorien personopplysninger som reguleres av GDPR artikkel 9.
I tillegg til at kravet til behandlingsgrunnlag i GDPR artikkel 6 må være oppfylt, må behandlingen av opplysningene også oppfylle de grunnleggende prinsippene i GDPR artikkel 5 for behandling av personopplysninger. Det følger av denne bestemmelsen blant annet at opplysningene skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål samt at de ikke viderebehandles på en måte som er uforenlig med disse formålene (bokstav b), at opplysningene må være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for (bokstav c) samt at opplysningene skal være korrekte og nødvendig oppdaterte (bokstav d). For det siste punktet (korrekte og nødvendig oppdaterte) vises det til nemndas drøftelse ovenfor.
A har protestert på fortsatt lagring i samsvar med GDPR artikkel 21 nr. 1, som lyder:
«Den registrerte skal til enhver tid, av grunner knyttet til vedkommendes særlige situasjon, ha rett til å protestere mot behandling av personopplysninger om vedkommende, og som har grunnlag i artikkel 6 nr. 1 bokstav e) eller f), herunder profilering med grunnlag i nevnte bestemmelser. Den behandlingsansvarlige skal ikke lenger behandle personopplysningene, med mindre vedkommende kan påvise at det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav».
Slik nemnda ser det, er arbeidsgivers behandling av As personopplysninger nødvendig for å ivareta de berettigede interessene arbeidsgiver har i å håndtere og dokumentere sakshistorikken når det gjelder As arbeidsforhold og den pågående arbeidskonflikten, jf. GDPR artikkel 6 nr. 1 bokstav f. I en slik pågående arbeidskonflikt har arbeidsgiver de nødvendige berettigede grunnene for fortsatt å oppbevare opplysningene og denne interessen går foran den registrertes interesse i å få dem slettet.
Nemnda er enig i Datatilsynets vurdering om ikke å pålegge arbeidsgiver sletting av den aktuelle loggen.
Personopplysningssikkerhet
Det er opplyst at arbeidsgiver lagrer alle opplysningene i personalmappen elektronisk i saksbehandlingssystemet Ephorte. Arbeidsgiver har redegjort for håndteringen av personalmapper, herunder at det skilles mellom opplysninger under koden P (personalsak) og PS (sensitiv personalsak). Sistnevnte gruppe omfatter opplysninger som gjelder konflikt, advarsel og varsling. Denne typen saker arkiveres i egne saksmapper og tilgangen er ytterligere begrenset til de som har tjenstlig behov (saksbehandler og leder i HR-seksjonen). Nemnda legger dette til grunn for sin vurdering. Det loggføres også hvem som er inne i systemet og leser.
I likhet med Datatilsynet finner nemnda at arbeidsgivers oppbevaring av personopplysningene framstår som forsvarlig. Nemnda mener at arbeidsgiver i foreliggende sak har gjennomført tekniske og organisatoriske tiltak for å oppnå et egnet sikkerhetsnivå som tilfredsstiller kravene til konfidensialitet, integritet og tilgjengelighet i GDPR artikkel 32. Det er ikke grunnlag for å konkludere med at det foreligger brudd på reglene om personopplysningssikkerhet.
A får etter dette ikke medhold i sin klage.
Vedtaket er enstemmig.
Vedtak
Datatilsynets vedtak opprettholdes. A får ikke medhold i sitt krav om retting eller sletting av personopplysninger fra sin personalmappe.
Oslo, 14. oktober 2019
Mari Bø Haugstad
Leder