Personvernnemndas vedtak 5. desember 2023 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin, Malin Tønseth)
Saken gjelder klage fra A på Datatilsynets avgjørelse om å avslutte sak om DNB Banks behandling av legitimasjonsdokument med ansiktsfoto, uten å ta stilling til om den innklagede behandlingen av personopplysninger var lovlig eller ikke.
Sakens bakgrunn
A mottok i februar 2022 et krav fra DNB Bank ASA om å legitimere seg på nytt med gyldig legitimasjonsdokument. A unnlot å legitimere seg og banken avsluttet kundeforholdet. A klaget banken inn for Finansklagenemnda og anførte at banken var uberettiget til å kreve pass eller annen legitimasjon med bilde.
A henvendte seg parallelt til Datatilsynet i e-post 5. juli 2022 og fremsatte et generelt spørsmål om hva Datatilsynet mente om «nødvendigheten av gjeldende hvitvaskingsforskrift § 6-2 i forhold til personvernforordningen artikkel 9 nr. 2».
Finansklagenemnda ga i sitt vedtak 16. september 2022 ikke A medhold. Finansklagenemnda viste blant annet til hvitvaskingsloven kapittel 4, herunder § 12 om innhenting av legitimasjon til bekreftelse av kundens identitet og konkluderte med at krav om legitimering falt innenfor det banken kunne kreve som ledd i kundetiltak og løpende oppfølging. Om forholdet til personvernforordningen sier Finansklagenemnda at «personvernregler i seg selv ikke er til hinder for innhenting og lagring av slik legitimasjon som banken krever i denne saken.»
A henvendte seg deretter på nytt til Datatilsynet 26. september 2022 og klaget på DNB Banks lagring av legitimasjonsdokument med hans ansiktsfoto, som han mente var ulovlig etter personvernforordningen.
Datatilsynet avsluttet saken uten å foreta nærmere undersøkelser og uten å ta stilling til om DNB Bank hadde brutt personopplysningsloven da banken stilte krav om at A måtte legitimere seg med gyldig legitimasjon med foto, som deretter ville bli kopiert og lagret hos banken i deres datasystem. Datatilsynet orienterte A i brev 27. april 2023 om at saken ble avsluttet uten nærmere undersøkelser i det tilsynet «vurderte det som lite sannsynlig at personvernreglene var brutt i saken» og derfor ikke anså det «hensiktsmessig å foreta nærmere undersøkelser». Det fremkommer av brevet at beslutningen om ikke å gjøre nærmere undersøkelser kan påklages til Personvernnemnda, jf. forvaltningsloven §§ 28 og 29. Samme dag sendte Datatilsynet også et annet brev til A der tilsynet svarte på spørsmålet A stilte i brev 5. juli 2022 om forholdet mellom hvitvaskingsforskriften § 6-2 og reglene i personvernforordningen artikkel 9. I brevet redegjør Datatilsynet for hva en biometrisk opplysning er og skriver videre:
«Vi gjør for øvrig oppmerksom på at hvitvaskingsreglene skal ivareta viktige allmenne interesser som nevnt i personvernforordningen artikkel 9 nr. 2 bokstav g. Banker og andre foretak som er underlagt hvitvaskingsreglene kan derfor ha hjemmel til å behandle særlige kategorier av personopplysninger i personvernforordningen artikkel 9 nr. 2 bokstav g, jf. hvitvaskingsforskriften § 6-1.»
A klaget rettidig på Datatilsynets avgjørelse om å avslutte saken 13. mai 2023. Datatilsynet vurderte klagen, men opprettholdt sin avgjørelse. Saken ble oversendt Personvernnemnda 2. juni 2023. A ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med kommentarer. A har gitt sine merknader i brev til nemnda 11. juni 2023.
Saken ble behandlet i nemndas møte 5. desember 2023. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin og Malin Tønseth.
Datatilsynets vurdering i korte trekk
Tilsynet skal etter personvernforordningen artikkel 57 nr. 1 bokstav f behandle klager og eventuelt undersøke dem i den grad det er hensiktsmessig. Ved vurderingen av om videre undersøkelser er hensiktsmessig legger tilsynet vekt på følgende momenter:
- Sakens alvorlighetsgrad
- Hvor sannsynlig det er at det foreligger et lovbrudd
- Hvor sannsynlig det er at et eventuelt lovbrudd vil føre til korrigerende tiltak
- Interne prioriteringer
- Andre særlige forhold ved saken som gjør videre undersøkelser lite hensiktsmessig
I dette tilfellet har Datatilsynet kommet til at det ikke er hensiktsmessig å gjøre nærmere undersøkelser. Tilsynet mener det er lite sannsynlig at personvernreglene er brutt, men velger å avslutte saken uten å ta stilling til spørsmålet.
As syn på saken i korte trekk
Klagen er avvist eller avslått etter en ufullstendig saksbehandling fordi Datatilsynet mener det er lite sannsynlig at personvernreglene er brutt og at Datatilsynet av en eller annen grunn ikke finner det hensiktsmessig å gjøre videre undersøkelser. Det klages på denne avgjørelsen.
Datatilsynet anvender personvernforordningen artikkel 57 nr. 1 bokstav f feil. Datatilsynet har plikt til å behandle klagen og kan ikke avvise den. Tilsynet har plikt til å gjøre de undersøkelser som er nødvendige for å avgjøre klagen på et saklig grunnlag.
Datatilsynets beslutning er i strid med Datatilsynets høringssvar til hvitvaskingsreglene 20. mars 2020 (referanse 19/03833-2/ISB) hvor Datatilsynet uttrykker tvil om hvorvidt den registrertes rettigheter er ivaretatt i samsvar med kravene i personvernforordningen. Datatilsynet skriver i sin høringsuttalelse:
«Vi mener at forslaget som nå er utarbeidet ikke tar opp i seg kravene som stilles i personvernforordningen for å behandle særlige kategorier av personopplysninger»
og
«Krav til å ha rutiner for å behandle særlige kategorier av personopplysninger vil i mange tilfeller være et naturlig utslag av personvernforordningen artikkel 24 som omhandler den behandlingsansvarliges ansvar. Det er positivt at dette presiseres i forskriften, men det kan reises spørsmål ved om dette er tilstrekkelig for å verne den registrertes rettigheter.»
A mener han i det minste må kunne forvente å få en faglig forsvarlig vurdering av Datatilsynets uttrykkelige tvil: Er det i dette tilfellet sikret egnede og særlige tiltak for å verne hans rettigheter og interesser?
Personvernnemndas vurdering
Innledningsvis bemerker nemnda at A har reagert på at Datatilsynet ved oversendelse av saken til nemnda også oversendte det orienteringsbrevet han mottok etter sin henvendelse til tilsynet 5. juli 2022 (se sakens bakgrunn). Han viser til at dette tilhører en annen sak og har bedt om at dokumentet tas ut av saken. Nemnda er ikke enig i at det er noe feil ved saksbehandlingen ved at dette brevet er oversendt. De to sakene henger sammen ved at begge er sendt inn av A og begge gjelder forholdet mellom hvitvaskingsreglene og personvernforordningen. Den ene henvendelsen er en klage, jf. personvernforordningen artikkel 77, mens det andre er en generell henvendelse om lovtolkning, som Datatilsynet selv må vurdere hvordan mest hensiktsmessig behandles. At Datatilsynet har valgt å besvare de to henvendelsene i to ulike brev skrevet samme dag, skyldes mest sannsynlig journalsystemets innretning. Det ville åpenbart også vært i orden å besvare begge henvendelsene i samme brev. Datatilsynets orientering som svar på henvendelsen 5. juli 2022 utfyller etter nemndas vurdering innholdet i det brevet som avslutter klagesaken, men heller ikke i dette orienteringsbrevet tar Datatilsynet stilling til om den påklagede behandlingen av personopplysninger er i tråd med loven eller ikke.
Spørsmålet for nemnda er om Datatilsynet kan velge å avslutte en sak uten å ta stilling til om personopplysningsloven er brutt, eller om A kan kreve at Datatilsynet behandler saken og tar stilling til om banken har gyldig behandlingsgrunnlag for sin behandling av As personopplysninger.
Nemnda legger til grunn at Datatilsynets avgjørelse om ikke å ta saken til behandling må anses som en avvisning av saken. En avgjørelse om å avvise saken er et enkeltvedtak, jf. forvaltningsloven § 2 tredje ledd og kan påklages, jf. § 28.
Etter at A mottok Finansklagenemndas vedtak om at bankens krav om legitimasjon var lovlig, klaget han saken inn til Datatilsynet 26. september 2022. A benyttet med dette sin rett til å klage til en tilsynsmyndighet etter personvernforordningen artikkel 77. Denne retten er også omtalt i forordningens fortalepunkt 141. Artikkel 77 fastsetter at enhver som «anser at behandlingen av personopplysninger som gjelder vedkommende, er i strid med denne forordning» har rett til å inngi klage til tilsynsmyndigheten. Den aktuelle tilsynsmyndigheten «skal underrette klageren om klagebehandlingsforløpet og utfallet av klagen». Det følger også av forvaltningsloven § 11 a at forvaltningsorganet skal forberede og avgjøre saken uten ugrunnet opphold.
Datatilsynets oppgaver følger av personvernforordningen artikkel 57. Datatilsynet skal etter bestemmelsen behandle en klage som er inngitt av en registrert og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, jf. personvernforordningen artikkel 57 nr. 1 bokstav f.
Nemnda har i en rekke saker lagt til grunn at tilsynet har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever. I PVN-2017-09 uttaler nemnda:
«Personvernnemnda legger til grunn at Datatilsynet som tilsynsmyndighet etter personopplysningsloven, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. En slik prioritering forutsetter at Datatilsynet i det aktuelle tilfellet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst, jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse med hensyn til hvor grundig de vurderer lovligheten av den aktuelle behandlingen av personopplysninger framstår forsvarlig. Ved denne forsvarlighetsvurderingen vil personvernhensyn være sentralt jf. lovens formål i § 1.»
Det ligger imidlertid ikke i dette at Datatilsynet fritt kan velge hvilke klager de skal ta til behandling og hvilke de velger ikke å behandle. Fleksibiliteten loven åpner for vil, slik nemnda ser det, i første rekke gjelde hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig. I en sak som denne, hvor det ikke er tvil om faktum, men et spørsmål om tolkning av loven, kan ikke tilsynet velge ikke å ta stilling til om behandlingen er lovlig eller ikke. En slik valgfrihet vil etter nemndas vurdering være i strid med personvernforordningen artikkel 77.
Datatilsynet må derfor foreta en materiell vurdering av saken og ta stilling til om banken har gyldig behandlingsgrunnlag for sin behandling av As personopplysninger eller om behandlingen er ulovlig. Dersom banken behandler personopplysningene ulovlig må tilsynet vurdere om det skal besluttes korrigerende tiltak, jf. personvernforordningen artikkel 58 nr. 2.
Nemnda har i PVN-2020-07 lagt til grunn at Datatilsynets valg av reaksjon overfor de behandlingsansvarlige ikke er en avgjørelse som retter seg mot de registrerte og dermed heller ikke bestemmende for deres rettigheter og plikter. Dette er imidlertid noe annet enn retten til å få vurdert om personopplysninger om seg selv er behandlet ulovlig.
Saken returneres Datatilsynet for en materiell vurdering av om As personopplysninger er behandlet ulovlig eller om banken har gyldig behandlingsgrunnlag.
Vedtaket er enstemmig.
Vedtak
Datatilsynets avgjørelse oppheves og saken returneres Datatilsynet for ny behandling.
Oslo, 5. desember 2023
Mari Bø Haugstad
Leder