Personvernnemndas vedtak 13. desember 2022 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Heidi Talsethagen, Hans Marius Tessem, Morten Goodwin, Malin Tønseth)
Saken gjelder klage fra X AS over Datatilsynets utmåling av overtredelsesgebyr på 100 000 kroner for å ha overvåket arbeidstakers e-postkasse uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav f, for manglende vurdering av protester, jf. artikkel 21 og for manglende informasjon, jf. artikkel 13.
X AS har også klaget over Datatilsynets pålegg om å utarbeide interne rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale, jf. artikkel 24.
Sakens bakgrunn
X AS sendte 3. oktober 2019 en avviksmelding til Datatilsynet om at virksomheten hadde foretatt innsyn i tidligere arbeidstakers e-postkasse uten å ha rettslig grunnlag for dette. Avviksmeldingen ble sendt etter at tidligere arbeidstaker hadde gjort virksomheten oppmerksom på at innsyn og automatisk videresendelse av e-post var ulovlig.
Datatilsynet mottok deretter 10. oktober 2019 en klage fra A om at hennes tidligere arbeidsgiver, X AS, hadde foretatt ulovlig innsyn i og automatisk videresending av hennes e-post etter at hun sluttet i selskapet.
Datatilsynet ba 20. november 2020 om arbeidsgivers redegjørelse, som etter utsatt svarfrist, ble gitt 14. januar 2021.
Datatilsynet varslet arbeidsgiver 1. juli 2021 om at tilsynet ville treffe slikt vedtak:
«1. Med hjemmel i personvernforordningen artikkel 58 nr. 2 bokstav i pålegges XAS, org. nr. […], å betale et overtredelsesgebyr til statskassen på kr 100 000 for automatisk videresending av klagers e-postkasse, jf. personvernforordningen artikkel 6 nr. 1 bokstav f, for manglende vurdering av protester, jf. artikkel 21, og for manglende informasjon, jf. artikkel 13.
2. X AS pålegges å utbedre internkontroll og rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale, jf. personvernforordningen artikkel 24.»
Arbeidsgiver ga sine merknader til varselet 13. september 2021og la ved selskapets sjekkliste for ivaretakelse av personvern når ansatte slutter, samt selskapets samtykkeskjema for innsyn/videresending av e-post etter avsluttet arbeidsforhold.
Datatilsynet traff 15. mars 2022 vedtak om pålegg og overtredelsesgebyr i tråd med utsendt varsel.
Arbeidsgiver klaget rettidig på Datatilsynets vedtak 28. mars 2022. Klagen gjelder overtredelsesgebyrets størrelse og pålegget om å utarbeide interne rutiner for innsyn i ansattes e-postkasse.
Datatilsynet vurderte klagen, men fant ikke grunn til å endre sitt vedtak. Datatilsynet oversendte saken til Personvernnemnda 24. juni 2022. Arbeidsgiver ble orientert om saken i brev fra nemnda 29. juni 2022, og fikk anledning til å komme med kommentarer. Det er ikke inngitt kommentarer.
Saken ble behandlet i nemndas møte 13. desember 2022. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Hans Marius Graasvold, Heidi Talsethagen, Hans Marius Tessem, Morten Goodwin og Malin Tønseth. Sekretariatsleder Anette Klem Funderud var også til stede.
Datatilsynets vurdering i korte trekk
Vurdering av om det foreligger brudd på reglene om innsyn i arbeidstakers e-post
Datatilsynet konkluderer i sitt vedtak med at arbeidsgivers automatiske videresendelse av innholdet i arbeidstakers e-postkasse ikke oppfyller vilkårene i e-postforskriften § 2 andre ledd og at behandlingen manglet behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav f. Tilsynet konkluderer videre med at arbeidsgiver ikke har overholdt sin plikt til å foreta en konkret interesseavveining etter at arbeidstakeren den 24. august og 3. september 2019 protesterte mot behandlingen, jf. artikkel 21. Endelig konkluderer tilsynet med at arbeidsgiver heller ikke har overholdt sin plikt til å informere arbeidstakeren om at videresendingen av e-poster startet, jf. artikkel 13.
Vurdering av subjektive vilkår
Det var daglig leder som handlet på vegne av selskapet da hun igangsatte videresendingen av arbeidstakers e-post, og videresendingen var en bevisst og villet handling. Datatilsynet anser overtredelsen som forsettlig og mener skyldkravet for å ilegge overtredelsesgebyr er oppfylt, jf. HR-2021-797-A.
Vurdering av om det skal ilegges overtredelsesgebyr
Det følger av forordningen artikkel 83 nr. 1 at hver tilsynsmyndighet skal sørge for at ileggingen av overtredelsesgebyr i hvert enkelt tilfelle er «virkningsfull, står i et rimelig forhold til overtredelsen og virker avskrekkende».
Den ulovlige videresendingen er en krenkelse av de grunnleggende prinsippene om lovlighet og åpenhet ved behandling av personopplysninger, jf. personvernforordningen artikkel 5 nr. 1 bokstav a. Når grunnleggende regler for beskyttelse av arbeidstakers personvern er tilsidesatt slik det er i denne saken må overtredelsene betraktes som alvorlige.
Det er i denne saken tale om kontinuerlig overvåking av innkommende e-post til en ansatts e-postkasse, noe tilsynet anser som et alvorlig inngrep i den ansattes rett til å korrespondere fritt. Overtredelsene er også en krenkelse av personvernet til tredjeparter som i god tro har sendt e-post til arbeidstakeren.
Tilsynet mener at overtredelsen skal sanksjoneres med et overtredelsesgebyr. Ved ileggelsen og utmålingen av gebyrets størrelse tar Datatilsynet utgangspunkt i de ulike momentene i personvernforordningen artikkel 83 nr. 2 bokstavene a til k.
Tilsynet har i skjerpende retning lagt særlig vekt på at den automatiske videresendingen ble igangsatt av selskapets daglige leder, at videresendingen pågikk over en periode på nesten seks uker til tross for arbeidstakers innsigelser, at e-postene ble videresendt til en e-postkasse administrert av daglig leder, og at ledelsen manglet kunnskap om regelverket.
Datatilsynet kommer, etter en konkret gjennomgang av de ulike momentene, til at X AS skal ilegges overtredelsesgebyr på 100 000 kroner. Tilsynet anser etter en skjønnsmessig vurdering at et gebyr på denne størrelsen vil være tilstrekkelig virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende, jf. personvernforordningen artikkel 83 nr. 1. Tilsynet har da hensyntatt selskapets økonomi i 2020 og mener at størrelsen på gebyret må settes så høyt at gebyret faktisk oppleves som et onde av overtrederen, jf. Skullerud m.fl; Kommentarutgave til personopplysningsloven og personvernforordningen, Universitetsforlaget 2019, side 347.
Tilsynet har lagt selskapets økonomi på vedtakstidspunktet til grunn og viser til at årsomsetningen fra 2020 var de senest tilgjengelige tallene på vedtakstidspunktet. X AS hadde i 2020 en omsetning på 4 579 000 kroner, et årsresultat på 101 000 kroner og en registrert egenkapital på 26 000 kroner. Gebyret utgjør ca. 2,2% av selskapets omsetning i 2020. X AS har ikke framlagt dokumentasjon på at et gebyr på 100 000 kroner påvirker selskapets levedyktighet.
Datatilsynet har ved oversendelse av klagen til nemnda vurdert saksbehandlingstidens betydning for utmåling av gebyr, jf. artikkel 83 nr. 2 bokstav k og PVN-2021-03. Tilsynet konkluderer med at verken saksbehandlingstiden eller tiden med total inaktivitet utgjør brudd på Den europeiske menneskerettighetskonvensjon (EMK) i denne saken og finner ikke grunn til å redusere gebyret av den grunn.
Rutiner for innsyn i e-postkasse
Datatilsynet pålegger arbeidsgiver å utbedre sine rutiner for innsyn i arbeidstakernes e-postkasse. Arbeidsgivers framleggelse av sjekkliste for tilfeller der ansatte slutter og samtykkeskjema for innsyn/videresending av e-post, er etter tilsynets vurdering mangelfulle. Samtykkeskjemaet inneholder blant annet flere punkter som kan være problematiske etter e-postforskriften, og viser til regelverk som er opphevet.
X AS’ syn på saken i korte trekk
Datatilsynet har vært for strenge ved utmålingen av gebyret. Tilsynet må legge regnskapsåret 2019 til grunn for gebyrfastsettelsen, ikke 2020.
X AS gikk med underskudd i 2019 med 63 000 kroner på grunn at kostnader til advokater og mye intern-jobbing. Revisor kunne si opp avtalen med selskapet på grunn av negativ egenkapital, som minimum skulle være på 35 000 kroner, men denne var nå negativ med 109 000 kroner.
I 2020 gikk selskapet i overskudd med 101 000 kroner og måtte dekke tapet fra året før, da ansatte ikke fikk utbetalt lønn for overtid. Målet var at selskapet skulle klare seg og få egenkapitalen opp igjen. Egenkapitalen gikk da opp til 26 000 kroner, men det var likevel 9 000 kroner for lite.
Selskapet gikk i overskudd med 11 000 kroner i 2021 og hadde positiv egenkapital, men overtredelsesgebyret er fremdeles altfor høyt. Hvis gebyret blir 100 000 kroner, kan det bety kroken på døra for selskapet. Det er det første brevet fra Datatilsynet i 2019 som skulle vært utgangspunktet for gebyret. Det er ikke selskapets skyld at tilsynet har brukt lang saksbehandlingstid.
Arbeidsgiver sendte inn rutiner for innsyn og videresending av ansattes e-post til Datatilsynet 13. september 2021. Rutinene viser at X AS har gjennomført pålegget om internkontroll.
Personvernnemndas vurdering
Spørsmålet for nemnda er om det etter personvernforordningen artikkel 83 nr. 5, jf. artikkel 83 nr. 2 skal ilegges et overtredelsesgebyr for brudd på personvernforordningen som følge av arbeidsgivers urettmessige innsyn i arbeidstakers e-post. Dersom det skal ilegges gebyr skal nemnda også vurdere hvor stort gebyret skal være.
Redegjørelse for faktum
Selv om saken for nemnda gjelder hvorvidt det skal ilegges gebyr og eventuelt utmålingen av gebyrets størrelse, må nemnda ta stilling til faktum. Dette skyldes at blant annet karakteren, alvorlighetsgraden og varigheten av overtredelsen vil være sentrale momenter for vurderingen av om overtredelsesgebyr skal ilegges og eventuelt utmålingen av gebyret, jf. personvernforordningen artikkel 83.
Overtredelsesgebyr etter personopplysningsloven er å anse som en administrativ sanksjon som har karakter av straff etter EMK artikkel 6. Etter rettspraksis stilles det da krav om klar sannsynlighetsovervekt for at skyldkravet er oppfylt, både i subjektivt og objektivt henseende, jf. Rt-2008-1409 og Rt-2012-1556. Det betyr i praksis at det er det faktumet som virksomheten selv beskriver som skal legges til grunn, med mindre det foreligger klare holdepunkter i de foreliggende bevisene for at det forholder seg på en annen måte. Det er med andre ord ikke tilstrekkelig med sannsynlighetsovervekt for å legge et annet faktum til grunn enn det selskapet selv forklarer, med mindre overvekten er «klart» mer enn 50%. Det betyr også at der det er usikkerhet om faktum, skal det faktumet som er mest gunstig for selskapet legges til grunn.
Nemnda legger følgende faktum til grunn for sin vurdering:
A sa opp sin stilling i selskapet 26. april 2019, med avtalt fratredelse fra og med 1. august 2019. I forbindelse med oppsigelsen avtalte partene at A fortsatt skulle bistå arbeidsgiveren noe høsten 2019 etter fratredelsesdatoen 31. juli 2019. I etterkant av oppsigelsen oppsto det en konflikt mellom A og arbeidsgiver om arbeidsoppgavene hun hadde utført og arbeidsoppgaver som gjensto etter avsluttet arbeidsforhold. Arbeidsgiver ønsket som følge av dette at gjenstående avtalte arbeidsoppgaver, etter fratredelsen, skulle utføres på arbeidsstedet, ikke fra hjemmekontor. Som følge av dette ble As tilgang til jobbområdet sitt fra hjemmekontor sperret fra 1. august. Det innebar at hun også mistet tilgang til sin e-post […] via PC, men hun beholdt tilgangen til e-posten via mobiltelefonen ut august. Alle e-poster sendt til As e-postkasse […] ble fra og med 1. august imidlertid også automatisk videresendt til post@x.no hvor daglig leder i virksomheten hadde tilgang.
Arbeidsgiver og arbeidstaker er uenige om hvorvidt arbeidstaker var informert om dette og hadde samtykket til videresendelsen. Arbeidsgiver har ikke kunnet dokumentere at slik informasjon er gitt og basert på den framlagte dokumentasjonen legger derfor nemnda til grunn at A ikke ble informert om videresendingen, men først ble klar over dette 24. august 2019 etter samtale med virksomhetens dataleverandør og påfølgende e-postutveksling med daglig leder i selskapet. A protesterte på ordningen, jf. personvernforordningen artikkel 21, med brev fra sin advokat 3. september 2019. Arbeidsgiver la deretter inn fraværsmelding på As e-postkonto den 4. september og 10. september ble hennes e-postkonto avsluttet.
Etter at A via sin advokat skrev til arbeidsgiver 3. oktober 2019 og blant annet tok opp uhjemlet innsyn i e-post, sendte arbeidsgiver avviksmelding til Datatilsynet samme dag. Det samlede antall e-poster som ble videresendt er av arbeidsgiver oppgitt til 10-15 og nemnda legger det til grunn. Blant disse e-postene var det også enkelte e-poster som ikke var arbeidsrelaterte. Det var blant annet noen e-poster knyttet til lønn i As nye jobb, samt to e-poster som ble sendt A i rollen som FAU-representant på sønnens skole.
Retten til å protestere – personvernforordningen artikkel 21
Slik nemnda vurderer faktum i saken foreligger det ikke noe brudd på personvernforordningen artikkel 21. Da A protesterte på behandlingen via sin advokat 3. september 2019 ble fraværsmelding lagt inn dagen etter og hennes e-postkonto ble deretter avsluttet innen en uke. Nemnda forstår dette slik at As protest ble tatt stilling til – og etterkommet. Det er da ikke i tillegg et krav at arbeidsgiver må dokumentere den interesseavveiningen som er gjort.
Betydningen av dette kommer nemnda tilbake til nedenfor.
Overtredelsesgebyr
Innsyn i arbeidstakers e-postkasse er behandling av personopplysninger. Behandlingen omfattes av reglene i personopplysningsloven og personvernforordningen, og suppleres av forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale (e-postforskriften, FOR-2018-07-02-1108) gitt med hjemmel i arbeidsmiljøloven § 9-5.
Ved behandling av personopplysninger uten behandlingsgrunnlag, samt ved overtredelse av bestemmelsene i personvernforordningen artikkel 13 (retten til informasjon), som denne saken gjelder, kan tilsynsmyndigheten etter artikkel 83 nr. 5, jf. nr. 2 ilegge den behandlingsansvarlige et overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4% av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløp anvendes. Det følger av artikkel 83 nr. 1 at tilsynsmyndigheten ved sin vurdering skal sikre at ileggelse av overtredelsesgebyr er virkningsfullt, står i et rimelig forhold til overtredelsen og virker avskrekkende.
Både ved vurderingen av om det skal ilegges gebyr og ved utmålingen av gebyret, skal det i hvert enkelt tilfelle tas hensyn til momentene i personvernforordningen artikkel 83 nr. 2 bokstavene a til k.
Etter bokstav a skal det blant annet legges vekt på karakteren, alvorlighetsgraden og varigheten av overtredelsen. I dette tilfellet bestod overtredelsen av ulovlig innsyn ved automatisk videresendelse av e-post over en periode på seks uker. I de første fire ukene hadde arbeidstaker også tilgang til e-posten, uten å være klar over at den samtidig ble videresendt.
Det dreier seg om relativt få e-poster totalt (anslått til 10-15) og bare et lite antall som ikke var arbeidsrelaterte. Ingen av e-postene omhandlet opplysninger av særlige kategorier, jf. artikkel 9. Fraværet av slike opplysninger eller antallet e-poster er likevel ikke avgjørende, idet arbeidsgiver på forhånd ikke kan vite noe om dette.
Arbeidstakeren ble ikke varslet om videresendingen og fikk ikke anledning til å uttale seg. Selv om det er redegjort for at arbeidsgiver oppdaget store mangler i det arbeidet som var utført av arbeidstaker før hun fratrådte sin stilling, er det ikke redegjort for forhold som kan begrunne arbeidsgivers behov for innsyn umiddelbart.
Det er ingen tvil om at arbeidsgiver i dette tilfellet har handlet forsettlig. Arbeidsgiver plikter å sette seg inn i de reglene som gjelder på området og eventuell uvitenhet om reglene er bare unnskyldelig dersom den er aktsom, jf. prinsippet i straffeloven § 26. I dette tilfellet foreligger det ingen aktsom villfarelse.
Nemnda er etter dette enig med Datatilsynet i at det skal ilegges et overtredelsesgebyr for overtredelsen og er enig med Datatilsynet når gebyret er satt til 100 000 kroner. Nemnda legger til grunn at selskapets økonomi da er tilstrekkelig hensyntatt. Gebyret på 100 000 kroner utgjør 2,0% av selskapets omsetning i 2019 og 2,1% av selskapets omsetning i 2020 og 1,8% av selskapets omsetning i 2021, og er alle godt innenfor den ytre rammen for gebyret som er angitt i artikkel 83 nr. 5. Nemnda mener at et gebyr på 100 000 kroner i dette tilfellet står i et rimelig forhold til overtredelsen og virker tilstrekkelig avskrekkende sett hen til selskapets økonomi de siste årene.
X AS får ikke medhold i sin klage på overtredelsesgebyrets størrelse.
Rutiner for innsyn i e-postkasse
X AS oversendte til Datatilsynet 14. januar 2021 først selskapets «[r]utiner /retningslinjer for personvern i selskapet» datert 10. oktober 2019. Etter å ha mottatt varsel fra Datatilsynet om vedtak og pålegg om å utbedre rutiner, framla X AS 13. september 2021en «[s]jekkliste ansatt slutter» og et samtykkeskjema «[i]nnsyn/videresending av e post ved fravær og avsluttet arbeidsforhold». Nemnda slutter seg til Datatilsynets vurdering om at de framlagte rutinene fortsatt er mangelfulle og ikke i tråd med loven. Nemnda viser særlig til det framlagte samtykkeskjemaet, samt e-postforskriften § 5 hvor det framkommer at det ikke er adgang til å fastsette instruks eller inngå avtale som fraviker bestemmelsene i forskriften til ugunst for arbeidstaker. Samtykkeskjemaet viser også til opphevede bestemmelser.
Nemnda er etter dette enig med Datatilsynet i at det fortsatt er grunn til å opprettholde pålegget om å utbedre internkontroll og rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale, jf. personvernforordningen artikkel 24.
X får etter dette heller ikke medhold i sin klage på dette punktet.
Konklusjon
Datatilsynets vedtak om å ilegge X AS overtredelsesgebyr på 100 000 kroner opprettholdes.
Datatilsynets pålegg om å utbedre internkontroll og rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale opprettholdes.
Vedtaket er enstemmig.
Oslo, 13. desember 2022
Mari Bø Haugstad
Leder