Personvernnemndas avgjørelse av 21. mars 2012 (Eva I. E. Jarbekk, Ingvild Hanssen-Bauer, Tom Bolstad, Leikny Øgrim, Gisle Hannemyr, Jostein Halgunset, Ørnulf Rasmussen)
1 Innledning
Personvernemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets avslag på forlengelse av konsesjon til antipiratarbeid.
2 Saksgang
Advokatfirma Simonsen ble meddelt en tidsbegrenset konsesjon til å behandle personopplysninger 27.11.2006. Konsesjonen hadde gyldighet til 31.12.2007. Konsesjonen ble forlenget, etter søknad, til 1.6.2009.
Simonsen søkte om forlengelse 1.6.2009. Søknaden ble avslått av Datatilsynet 22.6.2009. Avslaget ble påklaget av Simonsen 13.7.2009. Personvernnemnda tok 5.11.2010 klagen til følge i PVN-2009-18, og konsesjonen ble forlenget til 31.12.2010.
Simonsen søkte om ny konsesjon 31.1.2011. Siden konsesjonen utløp 31.12.2010, er det nødvendig med ny konsesjon frem til eventuelle endringer i åndsverkloven vedtas og trer i kraft.
Datatilsynet avslo Simonsens søknad om forlengelse av konsesjon for antipiratarbeid i vedtak av 23.6.2011, med det grunnlag at tilsynet ikke anser Simonsen for å være den behandlingsansvarlige for antipiratarbeidet i henhold til personopplysningsloven § 2 nr 4. Simonsen påklaget avslaget i brev av 15.9.2011 og anfører at de er behandlingsansvarlig for den aktuelle behandlingen.
Saken ble oversendt Personvernnemnda 25.10.2011, som mottok saken 2.11.2011. Klager ble orientert om dette i brev fra nemnda datert 2.11.2011, med frist til uttalelse innen 17.11.2011.
3 Faktum
Saken dreide seg Simonsens konsesjon til å drive antipiratarbeid. Sakskomplekset har tidligere vært behandlet i PVN-2009-18, men problemstillingen var da en annen. Datatilsynet mener at man i forbindelse med forlengelse av konsesjonen må ta stilling til hvem som er å anse som behandlingsansvarlig for den behandling av personopplysninger som Simonsen foretar i forbindelse med antipiratarbeidet, og det er dette som nå er problemstillingen.
4 Klagers anførsler
Klager anfører at det ikke foreligger nye eller endrede forhold som tilsier at konsesjonen ikke skal forlenges. Antipiratbyrån og AntiPiratGruppen, som yter tilsvarende bistand til rettighetshavere i Sverige og Danmark, er å anse som behandlingsansvarlig i henhold til regelverket i disse landene.
Simonsen anfører at et oppdragsforhold ikke uten videre medfører at oppdragsgiver er behandlingsansvarlig og oppdragstaker er databehandler. Det vises til forarbeidene til personopplysningsloven som sier at man skal tilstrebe å plassere behandlingsansvaret i ett og samme organ og hos den som har den daglige og mest omfattende befatningen. Det vises også til Personvernnemndas vedtak hvor det sies at det er først på det tidspunkt utrederen dokumenterer det som iakttas at det behandles personopplysninger.
Simonsen har et bredt mandat hos rettighetshaverorganisasjonene. Det er Simonsen som fastsetter hvorledes opplysningene skal behandles for at oppgavene skal oppfylles, jf NOU 1997:19 s 134.
Simonsen bestemmer hvilke hjelpemidler som skal brukes, jf § 2 nr 4 annet alternativ, og har den daglige og mest omfattende befatningen med personopplysningene, jf Ot prp nr 92 (1998-99) s 103.
Simonsen anfører at prinsippene for avgjørelse av spørsmålet om hvem som er behandlingsansvarlig også kommer til uttrykk i personopplysningsforskriften § 7-23.
Simonsen anfører at Datatilsynet har lagt til grunn feil faktiske forhold med hensyn til karakteren av oppdragsforholdet mellom rettighetshaverne og Simonsen. Simonsen illustrerer dette ved hjelp av figurer i sin klage.
Simonsen oppsummerer hvorfor det er advokatfirmaet som er behandlingsansvarlig:
- Simonsen bestemmer eller detaljerer formålet med behandlingen av personopplysninger, jf personopplysningsloven § 2 nr 4 første alternativ og Ot prp nr 92 (1998-99) s 103,
- Simonsen bestemmer hvilke (praktiske) hjelpemidler som skal brukes, jf pol § 2 nr 4 annet alternativ og Ot prp nr 92 (1998-99) s 103,
- Simonsen har den daglige og mest omfattende befatningen med personopplysningene, jf Ot prp nr 92 (1998-99) s 103, og
- Simonsen fastsetter hvorledes opplysningene skal behandles for at oppgavene (bistanden til rettighetshaverne i deres arbeid med å stanse rettighetskrenkelser) skal oppfylles, jf NOU 1997:19 s 132, og henvisningene til denne i og Ot prp nr 92 (1998-99) s 103 tredje avsnitt.
Simonsen anfører at behandlingsansvar kan statueres også der en oppdragstaker ikke har sivilprosessuell partsevne.
Simonsen anfører videre at man ikke kan lese ut fra Kulturdepartementets høringsnotat at departementet har tatt standpunkt til hvem som bør være behandlingsansvarlig for antipiratarbeidet. Simonsen anfører at departementet ikke har vurdert dette direkte.
Det anføres også at det er begått saksbehandlingsfeil idet tilsynet ikke har gitt tilstrekkelig veiledning i henhold til forvaltningslovens § 11 og personopplysningslovens § 42 (3) nr 6. Simonsen anfører at Datatilsynet ikke har veiledet advokatfirmaet med hensyn til hvem som etter Datatilsynets mening er behandlingsansvarlig for antipiratarbeidet.
5 Datatilsynets vurdering
Datatilsynet har i tidligere konsesjoner lagt til grunn at det er Simonsen som er behandlingsansvarlig. Datatilsynet gjorde ingen selvstendige vurderinger i den forbindelse, men la til grunn selskapets egne vurderinger i meldingen til tilsynet.
Datatilsynet mener at det er grunn til å se nærmere på ansvarsforholdene når ny konsesjon skal vurderes gitt.
Tilsynet mener at sammenligningen mellom vanlig advokatvirksomhet og advokatens rolle her som behandlingsansvarlig ikke blir treffende. Den rollen Simonsen har overfor rettighetshaverne er ikke innenfor det som er naturlig å se på som ordinære advokattjenester. Simonsen har også selv atskilt disse oppgavene på firmaets hjemmeside. Dessuten er ordinær advokatvirksomhet særlig regulert i lovgivningen.
Datatilsynet legger til grunn at det rettslige grunnlaget for den aktuelle behandlingen er personopplysningsloven § 8 bokstav f og § 9 bokstav e. Datatilsynet mener at dette er et rettslig grunnlag som bare kan påberopes av den som har rettslig kompetanse til å fastsette, gjøre gjeldende eller forsvare et rettskrav. Vedkommende må med andre ord ha sivilprosessuell partsevne. Det er rettighetshaverne, ikke Simonsen, som får krenket sine rettigheter. Den er kun den som har partsevne som kan være behandlingsansvarlig. Det vil være rettighetshaverne, og ikke advokatfirmaet, som er part i en eventuell rettssak om for eksempel blokkering av et nettsted som driver ulovlig fildeling. Behandlingen er ikke noe Simonsen gjør på egne vegne, men på vegne av noen andre. Simonsen er i denne forbindelse å anse som en databehandler, jf personopplysningsloven § 2 nr 5.
Tilsynet vil bemerke at i personopplysningslovens forstand er en databehandler i seg selv å anse som et hjelpemiddel. Det følger av fast praksis etter personopplysningsloven § 4 annet ledd.
Det ble lagt til grunn uriktige ansvarsforhold fra begynnelsen av behandlingen og dette må nå rettes opp i.
Det er korrekt at flere kan dele et behandlingsansvar, men man kan ikke fra dette utlede at noen uten partsevne i en eventuell tvist kan inngå i ansvaret. Tvert imot mener Datatilsynet at forarbeidene må forstås dit hen at dette kun gjelder der hvor flere parter med samme interesser deler ansvaret. Dette er ikke et slikt tilfelle. Tilsynet antar at det er rettighetshaverne selv som vurderer hvordan de skal gå videre når Simonsen har avdekket brudd på deres rettigheter.
I Kulturdepartementets høringsnotat legges retten til å disponere over opplysningene hos rettighetshaverne. Kulturdepartementet foreslår følgende ny § 56a i åndsverkloven:
Rettighetshaveres behandling av personopplysninger som gjelder krenkelse av opphavsrett eller andre rettigheter etter denne lov er unntatt konsesjonsplikt etter personopplysningslovens § 33 når slik behandling er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav.
Departementet uttaler at det er uomtvistet at det er rettighetshaveren som gis en adgang til å behandle personopplysninger om opphavsrettskrenkelser med mer uten konsesjon fra Datatilsynet. Datatilsynet mener at dette betyr at det kun er de som får sine rettigheter krenket som kan være behandlingsansvarlig. Det er gjennomgående i forslaget fra departementet at det er rettighetshaverne selv som er ansvarlig for de skritt som tas. Simonsen kan være en representant for rettighetshaverne og vil i en slik situasjon være en databehandler.
Datatilsynet mener å ha oppfylt sin veiledningsplikt etter forvaltningsloven § 11 og personopplysningsloven § 42 (3) nr 6. Plassering av behandlingsansvaret var tema i et møte med advokatfirmaet, dets oppdragsgivere og Datatilsynet i november 2010. Grunnen til at dette ikke ble endelig plassert da, var at tilsynet ville avvente Kulturdepartementets forslag til endringer i åndsverksloven.
6 Personvernnemndas merknader
I denne saken skal Personvernnemnda ta stilling til hvorvidt Simonsen advokatfirma kan være behandlingsansvarlig for personopplysninger som behandles i forbindelse med antipiratarbeidet som Simonsen utfører for flere ulike rettighetsorganisasjoner. Nemnda behandlet ikke denne problemstillingen da saken var oppe til behandling i første omgang fordi det verken ble anført som en problemstilling eller «prosedert» av partene.
Behandlingsansvarlig har ulike plikter etter personopplysningsloven. Blant annet skal behandlingsansvarlig sørge for informasjonssikkerheten, jf personopplysningsloven § 13, og gi informasjon til de registrerte om formålet med behandlingen, utlevering av opplysninger og retten til å kreve innsyn og retting, jf personopplysningsloven § 19. Begrepet behandlingsansvarlig er definert i personopplysningsloven § 2 nr 4 slik:
behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes
I Rettsdata er bestemmelsen kommentert slik:
Behandlingsansvar betegner en formell posisjon og innebærer krav til etterlevelse av en rekke plikter i loven. Det er normalt personer med sivilprosessuell partsevne som er «behandlingsansvarlig». En annen retningslinje er å anvende instruksjons- og delegasjonslæren. Den instans innen et hierarki med den øverste instruksjonsmyndigheten, vil ofte være behandlingsansvarlig. Når behandlingen av personopplysninger skjer i regi av en bedrift eller annen juridisk person, vil vedkommende virksomhets øverste ledelse være behandlingsansvarlig. Dette innebærer at behandlingsansvaret i store organisasjoner må plasseres høyt over de nivåer i organisasjonen som har daglig ansvar. Behandlingsansvarlig må derfor ofte delegere til underordnede, og plassere daglig ansvar på det nivå som er nødvendig for riktig og forsvarlig etterlevelse av lovens mv. bestemmelser, jf. popplyl. § 14 om internkontroll. Hvem som har daglig ansvar hos den behandlingsansvarlige, er blant de opplysninger som alle har innsynsrett i, og som skal meldes til Datatilsynet, se popplyl. §§ 18 og 32.
Det er antatt at behandlingsansvaret kan deles mellom to selvstendige organisasjoner, for eksempel i et samarbeid om felles identitetsforvaltning og påloggingsrutiner på Internett, felles innrapporteringsrutiner innen offentlig forvaltning mv. (jf. Altinn-samarbeidet i staten). I så fall vil det kunne være nødvendig å tydeliggjøre hvorledes ansvaret skal deles, f.eks. i form av en avtale, jf. popplyl. § 14 om internkontroll. Hvor behandlingsansvaret konkret skal plasseres, kan være regulert i særlovgivning med forskrifter, se for eksempel forskrifter til helseregisterloven der ansvaret for visse helseregistre er fastsatt.
Databehandler er definert i personopplysningsloven § 2 nr 5 slik:
databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige,
Rettsdata kommenterer bestemmelsen slik:
Begrepet misforstås ofte. Databehandler er en person eller virksomhet utenfor den behandlingsansvarliges organisasjon, og vil typisk være et databehandlingsforetak. Dersom behandlingsansvarlig har instruksjonsrett overfor den som behandler opplysninger, vil det ikke være tale om «databehandler». Begrepet brukes m.a.o. ikke om personer som faktisk behandler data, men betegner en bestemt type avtalepart som behandlingsansvarlige ofte anvender. Bruk av databehandler er særlig aktuelt dersom driften av datamaskinsystemet som behandler personopplysninger er satt bort til en ekstern tjenesteleverandør (jf. «outsourcing»). Loven krever at denne relasjonen skal avtalereguleres, se § 15.
Definisjonen av behandlingsansvarlig er nærmere drøftet i Personvernnemndas avgjørelse PVN-2007-1. I den saken uttalte nemnda at spørsmålet om hvem som er behandlingsansvarlig normalt avgjøres ut fra momenter som hvem et prosjekt eller arbeid er initiert av, hva de registrerte blir informert om i forhold til ansvar, hvor man skal henvende seg ved innsyn, retting, sletting etc. og hvordan/hvem som finansierer arbeidet.
Slik nemnda ser det er problemstillingen i denne saken hvorvidt Simonsen er behandlingsansvarlig eller databehandler for rettighetshaverne. Det er rettighetshaverne og rettighetsorganisasjonene som har initiert prosjektet og som finansierer prosjektet. Antipiratarbeidet har en informasjonsside på internett på www.ansvarliginternett.no. Der fremgår det at Simonsen bistår Motion Picture Association (MPA), Norsk Videogramforening (NVF), IFPI Norge, Den norske Forleggerforening (DnF) og deres medlemmer i deres arbeid med å stanse ulovlig eksemplarfremstilling og tilgjengeliggjøring for allmennheten av deres rettslig beskyttede filmer, TV-serier, musikk og bøker.
Simonsens virksomhet er dels utredningsvirksomhet og dels advokatvirksomhet. Det er bare utredningsvirksomheten som er omfattet av konsesjonen fra Datatilsynet. Utredningsvirksomheten tar utgangspunkt dels i mottatte tips, dels i selvstendige søk og dels i å oppsøke steder der ulovlig aktivitet erfaringsmessig finner sted. Når saker er ferdig utredet, overføres funnene, med relevant dokumentasjon, til advokatvirksomheten. Den videre behandlingen av personopplysningene faller utenfor virkeområdet til konsesjonen fra Datatilsynet.
Simonsens advokatvirksomhet vil i samråd med berørte rettighetshavere ta stilling til om det skal rettes en henvendelse til lovovertrederen – direkte i de tilfellene hvor vedkommendes identitet er kjent, i andre tilfeller via vedkommendes Internettleverandør – for å kreve at krenkelser straks opphører.
Simonsen har argumentert for at behandlingsansvaret ligger hos advokatfirmaet med følgende argumenter:
- Simonsen bestemmer eller detaljerer formålet med behandlingen av personopplysninger, jf personopplysningsloven § 2 nr 4 første alternativ og Ot prp nr 92 (1998-99) s 103,
- Simonsen bestemmer hvilke (praktiske) hjelpemidler som skal brukes, jf pol § 2 nr 4 annet alternativ og Ot prp nr 92 (1998-99) s 103,
- Simonsen har den daglige og mest omfattende befatningen med personopplysningene, jf Ot prp nr 92 (1998-99) s 103, og
- Simonsen fastsetter hvorledes opplysningene skal behandles for at oppgavene (bistanden til rettighetshaverne i deres arbeid med å stanse rettighetskrenkelser) skal oppfylles, jf NOU 1997:19 s 132, og henvisningene til denne i og Ot prp nr 92 (1998-99) s 103 tredje avsnitt.
Personvernnemnda er av den oppfatning at det er Simonsen som har ansvar for utredningsvirksomheten på vegne av rettighetshaverne og som sørger for sikring av bevis. Videre er det klart at det er rettighetshavernes organisasjoner som er oppdragsgivere og som således har initiert prosjektet og betaler for dette arbeidet. Det er således oppdragsgiverne som har engasjert Simonsen slik at de kan oppnå en effektiv overvåkning og bekjempelse av piratvirksomhet. For Simonsen er dette et utredningsoppdrag.
I følge ordlyden i loven skal behandlingsansvaret legges hos den som bestemmer formålet og virkemidlene for behandlingen. I følge forarbeidene kan behandlingsansvaret legges hos den som har den daglige og mest omfattende befatningen med personopplysningene. Sammenfattet blir de tre viktigste momenter ved avgjørelsen av hvem som har behandlingsansvar dermed;
- hvem bestemmer formålet
- hvem bestemmer virkemidlene
- hvem har nærhet/daglig befatning med personopplysningene
Personvernnemnda har delt seg i et flertall og et mindretall i denne saken.
Personvernnemndas flertall (Eva Jarbekk, Gisle Hannemyr, Leikny Øgrim, Ørnulf Rasmussen og Tom Bolstad) er kommet til at man må legge avgjørende vekt på ordlyden og at Simonsen ikke kan være behandlingsansvarlig. Flertallet har merket seg at Simonsen hevder at det er de som «bestemmer eller detaljerer formålet». Flertallet kan ikke, basert på faktum i saken, se det helt på samme måten. Etter nemndas syn er det mulig at Simonsen «detaljerer», men det må være rettighetshaverne som innledningsvis har bestemt og definert formålet. Videre er flertallet av den oppfatning at det er mulig at Simonsen både foreslår og bestemmer hvilke praktiske hjelpemidler som brukes, men det er rettighetshaverorganisasjonene som overordnet bestemmer virkemidlene og fremgangsmåten, herunder valget å bruke Simonsen som utreder. Det er Simonsen som operativt utfører oppdraget, bearbeider funn og opplysninger, legger data inn, sikrer bevis etc. Simonsen har deretter ingen selvstendig evne til å forfølge rettighetskrenkere, det må gjøres i samråd med og på vegne av rettighetsorganisasjonene. De nevnte forhold er helt typiske situasjoner for mange databehandlere.
Kulturdepartementet sendte 19. mai 2011 på høring et høringsnotat med forslag til tiltak mot ulovlig fildeling og andre krenkelser av opphavsrett m.m. på Internett. En av endringene som Kulturdepartementet foreslår i åndsverkloven er ny § 56a:
Behandling av personopplysninger som gjelder opphavsrettskrenkelser m.m.
§ 56a. Rettighetshaveres behandling av personopplysninger som gjelder krenkelse av opphavsrett eller andre rettigheter etter denne lov er unntatt fra konsesjonsplikt etter personopplysningsloven § 33 når slik behandling er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav.
Departementets kommentar til ny § 56a i høringsnotatet:
Bestemmelsen gir rettighetshavere en adgang til å behandle personopplysninger om opphavsrettskrenkelser m.m. uten konsesjon fra Datatilsynet når slik behandling er nødvendig for bl.a. å gjøre gjeldende rettskrav. Behandling av personopplysninger vil særlig være aktuelt for å sikre bevis for krenkelser. Bestemmelsen vil gi rettighetshavere hjemmel for å registrere og lagre IP-adresser som er benyttet til opphavsrettskrenkelser. Rettighetshaveres behandling av denne typen personopplysninger er unntatt fra konsesjonsplikt etter personopplysningsloven § 33, men personopplysningsloven vil for øvrig gjelde for behandlingen.
Dersom den foreslåtte endringen trer i kraft, vil rettighetshaverne etter dette være unntatt fra konsesjonsplikt for behandling av personopplysninger ved sin en utrednings- og forfølgningsvirksomhet.
Etter flertallets syn er behandlingsansvaret en formell posisjon og det må være den som er beslutningstaker – det vil si den som har den juridiske befatningen og bestemmende utøvelse over formål og virkemidler – og som dessuten initierer og finansierer den aktuelle behandlingen som må være behandlingsansvarlig for personopplysningene.
Rettighetsorganisasjonene har bestemt at de vil ha en it-teknisk og juridisk løsning som er lovlig og ressursbesparende for å forfølge krenkelser. Simonsen har foreslått og lagt opp en løsning, som oppdragsgiver har akseptert. Etter flertallets syn er dermed Simonsen databehandler og rettighetsorganisasjonene behandlingsansvarlig. Nemnda legger avgjørende vekt på ordlyden i personopplysningsloven som sier at behandlingsansvaret skal ligge hos den som bestemmer formålet og virkemidlene. Etter flertallets skjønn er det oppdragsgiver som i denne saken bestemmer formålet og Simonsen er helt avhengig av sin oppdragsgivers instruks, kontroll og finansiering. Det er mulig at Simonsen har innflytelse på hvilke virkemidler som skal benyttes, men det må være åpenbart at bestemmelsesmyndigheten ligger hos oppdragsgiver i siste hånd. Slik sett er Simonsen i samme situasjon som andre databehandlere. Flertallet legger også vekt på formålsbetraktninger. Hensikten med et «behandlingsansvar» er at beslutningsmyndigheten over behandlingen skal ligge hos en ansvarlig oppdragsgiver. Personvernnemndas flertall er derfor kommet til at man i denne saken skal holde seg strengt til ordlyden i loven. Betraktningene som fremkommer i forarbeidene er etter flertallets syn ikke normative nok til å fravike en klar ordlyd. Her vises også til alderen på forarbeidene og den tekniske utvikling som har skjedd etter at Skauge-utvalget skrev forarbeidene i 1997. Dette må medføre at forarbeidene nå har mindre vekt som tolkningsfaktor, og de er uansett ikke til hinder for flertallets forståelse av loven. Flertallet vil påpeke at en databehandler ofte har bedre teknisk kompetanse enn behandlingsansvarlig, altså er en «ekspert» på et område, og at det således vil være databehandleren som kan og vet best hvilke hjelpemidler som skal og bør benyttes etc, men det forandrer likevel ikke den formelle rollefordelingen. Slik flertallet ser det kan en behandlingsansvarlig gjerne knytte til seg en rekke forskjellige eksperter – altså databehandlere – innen ulike områder. Dette står det behandlingsansvarlig fritt å gjøre og da må behandlingsansvarlig inngå databehandleravtaler som definerer de ulike ansvarsområdene.
Personvernnemndas mindretall (Ingvild Hanssen-Bauer og Jostein Halgunset)
mener at Simonsen advokatfirma kan anses som behandlingsansvarlig. Begrunnelsen for denne konklusjonen er som følger:
Behandlingsansvarlig er i personopplysningsloven § 2 nr 4 definert som:
«Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som benyttes».
I forarbeidene, Ot.prp. nr. 92 (1998-99) side 102, er det angitt at den behandlingsansvarlige er den som alene eller sammen med andre har bestemmelsesrett over personopplysningene og den elektroniske behandlingen av disse. Videre er det pekt på at loven pålegger den behandlingsansvarlige en rekke plikter. I proposisjonen på side 103 er det angitt at det bare er subjekter som har sivilprosessuell partsevne, det vil si den som kan opptre som saksøkt i en tvist for domstolene, som kan være behandlingsansvarlig. Dette er begrunnet i at det kan bli nødvendig å bruke rettsapparatet for å gjennomføre krav mot den behandlingsansvarlige.
I forarbeidene er det videre kommentert at en og samme behandling i enkelte tilfeller kan ha flere behandlingsansvarlige, og det vises til Personverndirektivets formulering «alene eller sammen med andre». I forarbeidene uttales at:
«Man bør imidlertid tilstrebe å plassere behandlingsansvaret i ett og samme organ. I denne sammenheng vil det gjerne være naturlig å plassere behandlingsansvaret der man har den daglige og mest omfattende befatningen med opplysningene.»
Det fremgår altså at formålet med å utpeke en behandlingsansvarlig er at man må ha et klart subjekt for det ansvar som personopplysningsloven pålegger den behandlingsansvarlige, og dette subjektet må også ha sivilprosessuell partsevne.
I denne saken er det rettighetshaverorganisasjonene som bestemmer formålet med behandlingen. På den annen side er det Simonsen som bestemmer hvilke virkemidler som skal brukes, og som har den daglige og mest omfattende befatningen med personopplysningene. Det er angitt i Simonsens konsesjonssøknad av 31. januar 2011 at Simonsen har et bredt mandat fra rettighetshaverorganisasjonene, og at det er Simonsen som fastsetter hvordan opplysningene skal behandles for at formålet skal oppfylles. Simonsen har opplyst at rettighetshaverorganisasjonene har liten eller ingen befatning med opplysningene i dokumentasjonsfasen, og også begrenset befatning med behandlingen i den etterfølgende behandlingen i advokatvirksomheten.
Det er ikke uvanlig at det er flere enn ett subjekt som kan anses som behandlingsansvarlig i forhold til en behandling av personopplysninger. I noen tilfeller kan det i så fall være naturlig at subjektene pålegges et delt behandlingsansvar, men, som det fremgår av forarbeidene bør det tilstrebes å plassere behandlingsansvaret i ett organ. Av forarbeidene fremgår at man i så fall bør plassere behandlingsansvaret der man har den daglige og mest omfattende befatningen med personopplysningene. I herværende sak er det Simonsen som har den daglige og mest omfattende befatningen med personopplysningene, mens rettighetshaverorganisasjonenes befatning med personopplysningene er meget begrenset. Mindretallet anser det derfor naturlig at det er Simonsen som anses som behandlingsansvarlig.
Mindretallet anser at dette er i overensstemmelse med personopplysningslovens definisjon i § 2 nr 4, tolket i lys av forarbeidene og formålet med bestemmelsen. At Simonsen er behandlingsansvarlig medfører heller ingen betenkeligheter ut fra personvernhensyn. Simonsen er villig til å påta seg dette ansvaret, og de må forutsettes å ha god oversikt over hva ansvaret innebærer og være fullt ut i stand til å ivareta sine forpliktelser. I så måte må Simonsen, i og med at det er Simonsen som bestemmer hvilke hjelpemidler som skal brukes og som har den daglige befatning med opplysningen, anses nærmere til å påta seg dette ansvaret enn rettighetshaverorganisasjonene. Mindretallet vil i denne sammenheng særlig peke på formålsbestemmelsen i personopplysningsloven § 1 hvorav fremgår at loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Mindretallet mener at man i en situasjon hvor det kan være flere enn ett subjekt som kan anses som behandlingsansvarlig, bør se hen til hvilken ordning som i størst mulig grad er egnet til å oppfylle lovens formål. Etter mindretallets syn taler også lovens formål for at Simonsen anses som behandlingsansvarlig.
Det er heller ikke tvilsomt at Simonsen har sivilprosessuell partsevne, jf tvisteloven § 2-1.
Datatilsynet har som en del av begrunnelsen hevdet at Simonsen ikke har hjemmel for behandlingen i personopplysningsloven § 9 e, idet Datatilsynet legger til grunn at dette er et rettslig grunnlag som bare kan påberopes av den som har rettslig kompetanse til å fastsette, gjøre gjeldende eller forsvare et rettskrav. Ordlyden i bestemmelsen inneholder imidlertid ingen slik begrensning, og dette har heller ikke støtte i forarbeidene. Tvert i mot er det uttalt i forarbeidene (Ot. prp. nr. 82 (1998-99)) side 110 at:
«Bestemmelsen omfatter ethvert rettskrav, både rettskrav som tilhører den registrerte og rettskrav som tilhører den behandlingsansvarlige eller tredjepersoner.»
Mindretallet vil for øvrig bemerke at sammenligningen med advokatvirksomhet, som Simonsen henviser til, anses relevant. Også i advokatvirksomhet behandles opplysninger som ledd i oppdrag som utføres på vegne av en klient, og det er klienten bestemmer formålet og som har kompetanse til å anlegge sak. Det er imidlertid ikke tvilsomt at det er advokatfirmaet, og ikke klienten, som er behandlingsansvarlig for de opplysninger som behandles i advokatvirksomheten, jf forskrift til personopplysningsloven § 7-23.
Når det gjelder Datatilsynets henvisning til Kulturdepartementets uttalelser i høringsnotatet «Endringer i åndsverksloven (tiltak mot ulovlig fildeling og andre krenkelser av opphavsrett med mer på Internett)» som er ute på høring, bemerker mindretallet at Kulturdepartementets uttalelser ikke er basert på en vurdering av hvem som bør anses som behandlingsansvarlig i forhold til personopplysningsloven. Dette er ikke vurdert i høringsnotatet.
Avslutningsvis er en samlet nemnd enig i vurderingen av Datatilsynets saksbehandling i saken. Datatilsynets konklusjon om at Simonsen ikke er behandlingsansvarlig må bygge på at behandlingsansvaret påhviler et annet subjekt, og at Simonsen er å anse som databehandler. Datatilsynet har imidlertid ikke redegjort for hvem som etter tilsynets vurdering er å anse som behandlingsansvarlig. Dersom Datatilsynet mener at det er rettighetshaverorganisasjonene som er behandlingsansvarlig fremstår for øvrig saken heller ikke som ferdigbehandlet idet Datatilsynet i så fall burde behandlet det subsidiære, nemlig at konsesjonssøknaden subsidiært var innsendt på vegne av rettighetshaverorganisasjonene. Nemnda er i tvil om Datatilsynet i denne saken har oppfylt sin veiledningsplikt etter forvaltningsloven § 11, men kan uansett ikke se at det er grunn til å regne med at en eventuell saksbehandlingsfeil kan ha virket bestemmende inn på det resultatet Datatilsynet har kommet til på spørsmålet om Simonsen kan anses som behandlingsansvarlig. Nå som det er endelig avgjort at behandlingsansvaret ikke ligger hos Simonsen advokatfirma, må Datatilsynet uansett vurdere de subsidiære konsesjonssøknadene fra rettighetshaverorganisasjonene.
7 Vedtak
Klagen tas ikke til følge.
Oslo, 21. mars 2012
Eva I E Jarbekk
Leder