Personvernnemndas avgjørelse av 4. mars 2014 (Eva I. E. Jarbekk, Arve Føyen, Ørnulf Rasmussen, Nina Melsom, Gisle Hannemyr, Marta Ebbing, Ann R Sætnan)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på vedtak om innsynsrett for de registrerte i lydopptak.
2 Saksgang
Datatilsynet Den 17. oktober 2012 gjennomførte Datatilsynet en kontroll hos SpareBank 1 Markets AS (heretter «Markets») med hjemmel i personopplysningsloven § 42 tredje ledd nr. 3. Kontrollen rettet seg mot virksomhetens lovpålagte bruk av lydopptak, jf. verdipapirhandelloven § 10-17.
Varsel om vedtak ble sendt 9. april 2013 sammen med foreløpig kontrollrapport. I brev av 28. mai 2013 ga Markets sine kommentarer til tilsynets varsel om vedtak.
Datatilsynet avsa endelige vedtak 8. juli 2013, og det påklagde punktet er:
3. Virksomheten må gi innsynsrett til de registrerte i tråd med personopplysningsloven § 18 annet ledd, jf. lovens§ 24. Det vises til kontrollrapportens pkt. 5.5.4.
Verdipapirforetakenes Forbund har også sendt inn kommentarer, og Datatilsynet anser denne foreningen for å ha rettslig klageinteresse.
Saken ble oversendt Personvernnemnda 22.10.2013, som mottok saken 25.10.2013. Den 28.10.2013 sendte nemnda et brev til klager med frist for kommentarer innen 11.11.2013. Verdipapirforetakenes Forbund innga sine kommentarer i brev av 11.11.2013.
3 Faktum
Markets plikter etter verdipapirhandelloven § 10-17 å foreta lydopptak av telefonsamtaler i tilknytning til yting av investeringstjenester og tilknyttede tjenester, samt oppbevare lydopptak og annen type dokumentasjon. Hva slike tjenester innebærer er nærmere regulert i verdipapirforskriften § 10-31,jf. vphl. § 2-1 første ledd nr. 1 til 6.
Etter personopplysningsloven § 18 annet ledd har den registrerte rett til innsyn i opplysninger om seg selv, og informasjonen kan kreves skriftlig. Den behandlingsansvarlige kan på sin side kreve at den registrerte leverer en skriftlig og undertegnet innsynsbegjæring, jf. personopplysningsloven § 24.
Markets lager ikke transkripsjoner av lydopptak og utleverer heller ikke lydfiler. Et av hensynene de viser til er de ansattes personvern. Markets er av den oppfatning at de innfrir innsynsretten, jf. personopplysningsloven § 18 annet ledd, når kunder eller øvrige registrerte inviteres til å komme og lytte på lydopptaket hos virksomheten.
4 Klagers anførsler
Markets er uenig i hva den registrerte har rett til innsynsrett i, og hvordan gjennomføring av innsyn skal skje. De bestrider ikke at den registrerte har krav på innsyn i «Opplysninger om den registrerte», jf. personopplysningsloven § 18 annet ledd bokstav a).
Formålet med innsynsretten er først og fremst at den registrerte skal få vite hvilke opplysninger som behandles om vedkommende, slik at uriktig eller ufullstendige opplysninger kan kreves rettet.
De lydopptakene som gjennomføres av Markets vil inneholde personopplysninger om kunden, men også om virksomhetens ansatte. Opptakene vil inneholde opplysninger om personlige forhold, f.eks. om skilsmisse, barn og sykdom siden relasjonsbygging er en viktig del av en meglers hverdag. Markets legger derfor til grunn at virksomhetens ansatte også vil være å anse som «registrert» og dermed også ha krav på vern av sine personopplysninger.
Markets er av den oppfatning at virksomhetens behandling av de ansattes personopplysninger omfattes av kravene i personopplysningsloven §§ 13 og 14. Markets er derfor forpliktet til å sikre at lydopptak behandles på en måte som ikke utsetter ansatte for uforholdsmessige ulemper, herunder «sørge for at tilfredsstillende informasjonssikkerhet med hensyn til opplysningens konfidensialitet, integritet [&hellip:]», jf. § 13 første ledd.
Virksomheten er av den grunn ikke enig i tilsynets konklusjon om at virksomheten skal sende lydfiler av telefonsamtaler til kunder, som ikke er underlagt noen krav eller har avgitt noen garanti med henhold til behandling av personopplysninger som vedrører de ansatte. Dette vil etter Markets vurdering være i strid med personopplysningsloven § 13 tredje ledd. Markets er av den oppfatning at faren for misbruk er stor, når lydfiler som inneholder personopplysninger om de ansatte, blir oversendt direkte til kunden (den andre registrerte). Markets mener dette burde tilsi en annen gjennomføringsmåte av innsynsretten enn det Datatilsynet har konkludert med.
Markets mener derfor at Datatilsynet har lagt en feil tilnærming til problemstillingen når tilsynet i vedtaket på side 3 sier at:
Datatilsynet har forståelse for at virksomheten er bekymret for at lydfiler kan benyttes på en slik måte at de går utover de ansattes personvern. Datatilsynet finner imidlertid ikke at mulig offentliggjøring av lydopptak/transkripsjon, kan være grunnlag for å unnta den registrerte den lovhjemlede retten til a motta transkripsjon av lydopptaket, jf. personopplysningsloven § 24.
Markets vurdering er at kunden må gis innsyn i lydopptaket som sådan, men at dette må gjennomføres på en måte som sikrer en forsvarlig behandling av den ansattes personopplysninger.
Virksomheten er videre av den oppfatning at lovens formål som omtalt i § 1 om «beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger» klart må gå foran hensynet til måten gjennomføringen av innsynet skal skje på. Det vises i den forbindelse til formålet med innsynsretten som i forarbeidene er begrunnet med at den registrerte skal kunne kreve eventuelle feil rettet eller slettet.
Etter Markets vurdering vil kundens (den registrertes) rett til innsyn være tilstrekkelig ivaretatt ved at kunden som hovedregel:
- gis adgang til å lytte på aktuelle telefonsamtaler på virksomhetens kontorer. Dersom dette ikke skulle være hensiktsmessig i det enkelte tilfellet, for eksempel dersom kunde bor langt unna og/eller av andre årsaker er forhindret fra å komme til virksomhetens kontorer, kan et alternativ være
- at lydopptakene sendes til en lokal advokat eller en annen tillitsmann, revisor, eller lokal bank som på Markets regning stiller lokaler til disposisjon og avgir en bekreftelse på at lydfilene vil bli forsvarlig behandlet. Tilsvarende vil det være naturlig
- å oversende lydfilene direkte til kundens advokat dersom kunden har engasjert dette, mot at vedkommende avgir en tilsvarende bekreftelse.
Ved å gjennomføre innsynsretten på denne foreskrevne måten vil formålet med innsynsretten, men også hensynet til vern om den ansattes personopplysninger være ivaretatt.
5 Verdipapirforetakenes Forbund
Verdipapirforetakenes Forbund har i brev av 28. august 2013 kommentert det påklagede vedtakspunktet. Forbundet opplyser at den praksisen Markets har fulgt er en bransjepraksis og at tilsynets vedtak vil få følger for hele bransjen. Forbundet fremmer hovedsakelig de samme synspunkter som Markets gjør i klagen.
Det fremheves at tilsynets vedtak om innsynsrett (utleveringsplikt) ikke er balansert, siden hensynet til den ansattes personvern må vike. Forbundet er videre av den oppfatning at tilsynet forskjellsbehandler personer med bakgrunn i ansettelsesforhold. Forbundet peker på bestemmelser i verdipapirhandelloven og arbeidsmiljøloven som underbygger ansattes rett til personvern.
Videre har Verdipapirforetakenes Forbund har i brev av 11. november 2013 påpekt at det ikke er bestridt at kunden har innsynsrett i lydopptak av samtale mellom kunden og ansatt i verdipapirforetak. VPFF er imidlertid ikke enig i at kundene skal få adgang til å få lydfilene fysisk utlevert, da dette etter VPFFs oppfatning ikke ivaretar hensynet til de ansattes personvern.
Datatilsynets avveining mellom arbeidstakers og kundes personvern er etter VPFFs vurdering formalistisk, blant annet ved henvisning til at kunden ikke er «uvedkommende» i lovens forstand. Det er for så vidt riktig, men ikke avgjørende for vurderingen. Som tilsynet har påpekt, vil ikke personopplysninger utlevert til en privatperson nødvendigvis være regulert av personopplysningsloven, herunder kravene i § 13. Det innebærer at kundene kan publisere informasjon uavhengig av personopplysningslovens bestemmelser. For VPFF kan det fremstå som at Datatilsynet mener at det er et argument for at kundene skal kunne få en kopi av lydfilen. Etter VPFFs vurdering taler det snarere tvert imot for at de ikke skal få en kopi av lydfilen.
I et tilfelle hvor det kan tenkes interessemotsetninger mellom to eller flere registrerte, gir personopplysningsloven liten veiledning. Det må derfor tas utgangspunkt i lovens formål og de grunnleggende prinsippene som loven bygger på. Utgangspunktet er at både arbeidstaker og kunde er «registrert» og har rettigheter i henhold til loven.
Etter at et lydopptak er utlevert til kunden, vil ikke verdipapirforetaket eller den ansatte ha noen kontroll på hvordan opplysningene behandles. Det er ingen krav til sikker oppbevaring, sletting eller regler om overføring til andre. Arbeidstakerens personopplysninger er derfor svakt beskyttet hvis et lydopptak utleveres. Dette er et relevant hensyn ved vurderingen av hvordan innsyn skal gjennomføres, jf. § l. Lovens formål er «å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger», jf. § l. Utlevering av lydopptak er «behandling» i lovens forstand, og det er en risiko for at personvernet blir krenket.
Det er ikke tale om å nekte innsyn, jf. personopplysningsloven § 23, men spørsmål om hvilken form innsynet skal ha. Det vil si at det er mindre inngripende for den registrerte (kunden) enn å nekte innsyn. Personopplysningsloven åpner for å nekte innsyn i visse situasjoner, noe som også tilsier at det bør kunne være grunnlag for å gjøre det mindre, nemlig regulere metoden for innsyn så lenge vurderingen er basert på hensyn som er forenlig med loven. Det bemerkes at verdipapirforetakene også er forpliktet til å ivareta arbeidstakernes personvern. Ved tolkningen av reglene om innsyn, kan det ikke legges til grunn et resultat som er uforenlig med lovens formål.
Fra Sparebank1Markets/VPFFs side er det foreslått alternative løsninger som VPFF i stor grad mener oppveier for de ulemper manglende overlevering av en kopi av lydfilen vil innebære. Det vil si at de negative virkningene for den registrerte er få, og VPFF mener dette i større grad bør hensyntas i vurderingen av hvordan innsynet skal gjennomføres.
Formålet med innsynsretten mv.
Formålet med innsynsretten er at den registrerte skal kunne kontrollere opplysningene, for eventuelt å korrigere og rette opp informasjonen som er lagret om vedkommende. Klagen gjelder innsynsrett i en lydfil. Det vil si at den informasjonen som er lagret som utgangspunkt er korrekt, da det er et opptak av en samtale. VPFF vil peke på at det således i mindre grad er behov for å rette opp eller korrigere informasjonen, sammenliknet med andre tilfeller hvor informasjonen registreres i ettertid.
VPFF viser videre til at de norske reglene om innsyn trolig går lenger enn personverndirektivet når det oppstilles et krav til skriftlighet. Kravet til skriftlighet er ikke problematisert i forarbeidene til personopplysningsloven. En tilsvarende bestemmelse fantes imidlertid i forskrift til personregisterloven av 1978. Det er antakeligvis grunnen til at bestemmelsen er videreført uten nærmere drøfting. Det forhold at bestemmelsen ikke er en gjennomføring av direktivet, innebærer etter VPFFs syn at retten til en kopi ikke gjelder i enhver situasjon. Det er tilstrekkelig at opplysningene blir kommunisert til kunden i en forståelig og hensiktsmessig form. Ved å gi kunden adgang til å høre lydfilene er direktivet, etter VPFFs vurdering, oppfylt.
Ikke relevante hensyn vektlagt av Datatilsynet – «klagebehandling»
I det opprinnelige vedtaket viste Datatilsynet til at «opptakene kunne bestå av flere timer, og virksomhetens gjennomføring av innsynsretten ikke var særlig egnet i slike tilfeller. Dette ville være tilfelle når det er behov for å engasjere profesjonell bistand i f eks en klagesak.» VPFF kan ikke se at Datatilsynet her har vektlagt et relevant moment. Tilsynet sikter trolig til en klage knyttet til rådgivningen mm, ikke behandlingen av personopplysningene. Etter VPFFs vurdering er ikke praktisk gjennomføring av klagebehandling et relevant moment ved tolkningen av personopplysningsloven. Formålet med innsynsbestemmelsen er at den registrerte skal kunne kontrollere informasjonen som er lagret, og f.eks. kreve retting eller sletting, jf. personopplysningsloven § 27. Klagebehandling etter annet lovverk faller utenfor lovens anvendelsesområde – det er ikke personvern.
Datatilsynet har etter VPFFs vurderinger lagt vekt på hensyn som ikke er relevante ved tolkning av personopplysningsloven.
6 Datatilsynets vurdering
Datatilsynet påpeker at en personopplysning er etter personopplysningsloven § 2 nr. 1 definert som opplysninger og vurderinger som kan knyttes til en enkeltperson. Etter personopplysningsloven § 18 annet ledd skal den registrerte (den personopplysningene kan knyttes til) ha rett til innsyn i registrerte opplysninger om seg selv.
Etter tilsynets vurdering vil innsynsretten omfatte hva som blir sagt av begge parter i telefonsamtalen. Både kunden og megler, som begge er å anse som registrerte, vil således ha rett til innsyn i det de sier og det de blir fortalt i telefonsamtalen. Motsatt ville en innskrenkende tolkning av begrepet «personopplysning» føre til at den registrert kun hadde krav på innsyn i de opplysningene han eller hun selv har oppgitt. Sett ut fra formålet med innsynsretten, vil ikke en slik begrenset rett til innsyn harmonisere med hensynet bak reglene om innsyn. Den enkeltes personopplysninger (ytringer) må sees i kontekst og det omfatter naturlig også det samtalepartneren sier. En annen oppfatning vil etter tilsynets mening skape overhengende fare for misforståelser. Dersom kunden sier «ja» er det avgjørende hva samtaleparten har sagt for eksempel.
I denne saken er det ikke omtvistet at den registrerte har rett til innsyn i lydopptakene. Problemstillingen er imidlertid hvordan innsynsretten skal gjennomføres, om den behandlingsansvarlige plikter å utlevere en transkripsjon av lydopptak eller som tilsynet har besluttet i praksis en lydfil eller om det er tilstrekkelig med den registrerte gis adgang til å lytte til lydopptaket.
Personopplysningsloven § 24 regulerer hvordan informasjonen skal gis. Bestemmelsen tar utgangspunkt i et skriftlighetskrav, men det er ikke til hinder for at det nyttes elektroniske dokumenter. Datatilsynet forstår § 24 slik at den registrerte i utgangspunktet kan kreve en transkripsjon av lydopptaket. Personopplysningsloven er i utgangspunktet teknologinøytral og etter tilsynets vurdering vil den behandlingsansvarlige oppfylle sine plikter etter § 24, også ved å utlevere lydopptaket som lydfil eller i det formatet personopplysningene er lagret på.
Klager har vist til personopplysningsloven §§ 13 og 14 (samt personopplysningsforskriften) som forplikter dem til å sikre at lydopptak behandles på en måte som ikke utsetter ansatte for uforholdsmessige ulemper. Klager er av den oppfatning at en utlevering av lydopptak vil utsette deres ansatte, som registrerte, for uforholdsmessige ulemper og det vil være i strid med personopplysningsloven § 13 tredje ledd.
Datatilsynet la til grunn i vedtaket av 8. juli 2013:
Plikten til å hindre uvedkommende (interne og eksterne individer) tilgang til lydopptakene er regulert i personopplysningsloven § 13. Personopplysningsloven § 13 stiller en del krav til behandlingsansvarlig (finansforetaket) når det gjelder informasjonssikkerheten ved behandling av personopplysninger. Bestemmelsen fastslår at den behandlingsansvarlige skal gjennom planlagte og systematisk tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet.
Kravet til konfidensialitet innebærer at personopplysningene skal være utilgjengelig for uvedkommende. Kravet til tilgjengelighet skal sikre at personopplysningene er tilgjengelige for autoriserte brukere for bruk i henhold til de formål de er innhentet. I dette ligger blant annet at kun de som har tjenstlig behov for personopplysninger skal ha tilgang til dem. Hvilke personer som oppfyller kravet til tjenstlig behov er det i utgangspunktet virksomheten selv som må ta stilling til. Virksomheten må imidlertid være beredt til å begrunne sitt valg av antall personer som er gitt tilgang til visse typer opplysninger.
Etter tilsynets vurdering og ut ifra et personvernperspektiv er det mindre betenkelig å gi den registrerte (kunden eller den aktuelle ansatt) innsyn i et lydopptak vedkommende selv deltar i, enn det er å gi øvrige ansatte i finansforetaket fri tilgang/innsynsrett. Dette syn gjenspeiles i regelverket når ansatte som ikke har deltatt i samtalen må vise til et tjenstlig behov/formål for å få tilgang/innsyn til lydopptakene, jf vpf § I 0-35, mens en slik begrunnelse ikke er nødvendig for den registrerte, jf personopplysningsloven § 18 annet ledd.
Den registrerte (kunde eller den aktuelle ansatt) som ønsker innsyn i lydopptak, jf personopplysningsloven § 18 annet ledd, vil etter dette ikke være å anse som «uvedkommende», men en med lovlig tilgang/innsynsrett når unntak fra innsynsretten, jf. personopplysningsloven § 23, ikke kommer til anvendelse. Etter personopplysningsloven § 24 vil virksomheten ha en plikt til å utlevere en transkribert versjon av samtalen eller en lydfil.
Datatilsynet deler følgelig ikke klagers forståelse av personopplysningsloven § 13.
Klagers syn er begrunnet i hensynet til de ansattes personvern. Klager er skeptisk til å utlevere slike opplysninger uten at det stilles noen krav til hvordan mottaker, i dette tilfellet egen kunde, skal håndtere lydopptakene. Markets viser i den sammenheng til hvordan de selv er pålagt strenge rutiner i forbindelse med håndtering av lydopptak.
Datatilsynet vil understreke at lydopptakene er en gjengivelse av en eller flere samtaler de registrerte har hatt med hverandre. Det vil presumtivt være en utlevering av personopplysninger (om den ansatte) som kunden allerede kjenner til.
Det kan videre legges til at kundens behandling av lydopptaket ikke nødvendigvis er regulert av personopplysningsloven. Tilsynet viser i den forbindelse til personopplysningslovens § 3 andre ledd som sier at personopplysningsloven ikke kommer til anvendelse for behandling av personopplysninger som den enkelte foretar for rent personlige eller andre private formål. I slike tilfeller vil man ikke i medhold av personopplysningsloven kunne stille krav til hvordan den registrerte skal håndtere lydopptak.
7 Personvernnemndas merknader
Personvernnemnda skal ta stilling til hvordan innsyn skal gis i lydopptak. Det er ikke bestridt at kunden har innsynsrett i lydopptak av samtale mellom kunden og ansatt i verdipapirforetak. Klager er imidlertid ikke enig i at kundene skal få adgang til å få lydfilene fysisk utlevert.
Det følger av personopplysningsloven § 24 at «Informasjonen kan kreves skriftlig hos den behandlingsansvarlige eller hos dennes databehandler». Ut over dette er det ikke oppstilt noe krav til hvorledes innsynet skal gjennomføres. I konkrete tilfeller vil imidlertid formålsbestemmelsen i § 1 kunne gi veiledning. Således kan praktisering av innsynsrett på måter som ikke gir tilgang til et forståelig og/eller håndterlig materiale i mange tilfelle sies å være lovstridig. Måten innsynet blir gitt på må være tjenlig for formålet og begrunnelsen for innsynet.
I denne saken vil en kunde i et verdipapirforetak ha innsyn i lydopptak av telefonsamtaler mellom kunde og selger. Klager ønsker ikke å gi lydfilen til kunden av hensyn til den ansattes (selgerens) personvern.
Nemnda kan ikke se at det er noen beskyttelsesverdig interesse for verdipapirforetaket og dets ansatte i denne saken. Lydfilene gjengir telefonsamtaler om transaksjoner hvor kunden er en privatperson og selger den profesjonelle part. Begge parter er kjent med at det gjøres opptak og kan således styre informasjonen om private forhold deretter. Det vil mest sannsynlig fremkomme få – om ingen – personopplysninger om selger i slike samtaler. Man kan selvsagt ikke utelukke at noen selgere kan tenkes å fortelle om private forhold i telefonsamtalen, men dette veier klart mindre ved interesseavveiningen. Årsaken til at kunden ber om innsyn vil mest sannsynlig være for å kunne fastslå hvorvidt det har skjedd noe ulovlig, i strid med muntlige instrukser.
Nemnda tar en rettsstridsreservasjon, om at det kan tenkes situasjoner – for eksempel av hensyn til tredjepart – hvor man ikke bør gi ut lydfilen, men generelt sett vil interesseavveiningen gå i favør av kunden i slike saker. Innsyn kan kreves gjennom utlevering av kopi eller transkripsjon av lydfilen. Dersom klager ikke ønsker å gi ut kopi av lydfilen, må klager sørge for transkripsjon, jf personopplysningsloven § 24.
8 Vedtak
Klagen tas ikke til følge.
Oslo, 4. mars 2014
Eva I E Jarbekk
Leder