Personvernnemndas vedtak 11. november 2019 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Hans Marius Graasvold, Hans Marius Tessem, Heidi Talsethagen, Audhild Gregoriusdotter Rotevatn)
Saken gjelder klage fra A på Datatilsynets vedtak 23. januar 2019 om ikke å gi telefonselskapet B pålegg om å gi han innsyn etter GDPR artikkel 15.
Sakens bakgrunn
Saken har sin opprinnelse i at en ukjent person urettmessig benyttet As fødselsnummer til å opprette et kontantkortabonnement hos B. A ble oppmerksom på opprettelsen av abonnementet da han mottok et velkomstbrev i posten fra B 10. august 2018. Han kontaktet kundeservice umiddelbart og fikk telefonnummeret sperret og anmeldte forholdet til politiet. Politiet henla saken etter få dager under henvisning til at det ikke var fremkommet nok opplysninger til å identifisere gjerningsmannen.
A ba B om innsyn i de opplysningene som var knyttet til abonnementet, herunder datatrafikk, samtalelogg, sms’er m.m. B avslo innsynsbegjæringen og opplyste at opplysninger eventuelt ville kunne utleveres til politiet på forespørsel i og med at det dreide seg om ID-tyveri. A klaget 10. oktober 2018 B inn for Datatilsynet for brudd på personopplysningsloven.
Datatilsynet vurderte henvendelsen og opplyste i brev 23. januar 2019 at de avsluttet saken uten ytterligere tiltak. Datatilsynet viste til at A ikke har krav på innsyn i eventuelle personopplysninger om den personen som hadde opprettet mobiltelefonabonnementet ved bruk av hans fødselsnummer. A påklaget Datatilsynets vedtak i e-post 10. februar 2019. Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sin avgjørelse.
Saken ble oversendt Personvernnemnda ved Datatilsynets brev 13. juni 2019. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer. Ingen av partene har kommet med noen merknader.
Saken ble behandlet i nemndas møte 11. november 2019. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Gisle Hannemyr, Hans Marius Graasvold, Hans Marius Tessem, Heidi Talsethagen og Audhild Gregoriusdotter Rotevatn. Nemndas sekretær, Anette Klem Funderud var også tilstede.
A har i hovedsak anført
B nektet han innsyn uten å oppgi hvilken unntakshjemmel som er benyttet for å nekte innsyn. Dette er i strid med Datatilsynets egne retningslinjer, men er likevel ikke kommentert av Datatilsynet.
B bryter personopplysningsloven ved å nekte innsyn i personopplysninger etter personvernforordningen artikkel 15. Datatilsynet henviser til at innsynsretten gjelder «den registrerte» og påpeker at «den registrerte» i dette tilfellet er hans fødselsnummer, men sier at dette likevel ikke kan knyttes til han som person. Han kan ikke akseptere at det behandles informasjon knyttet til hans fødselsnummer som han ikke har kontroll over.
Ved ikke å gi pålegg om innsyn ivaretar Datatilsynet personvernet til de kriminelle ID-tyvene, men ikke rettighetene til de som er offer for ID-tyveri.
Fordi Datatilsynet tolker loven slik at de kriminelles personvern er sterkere og viktigere enn de som opplever å bli utsatt for ID-tyveri, har den fornærmede i slike saker ingen mulighet til å finne ut om formålet med ID-tyveriet er å innhente økonomiske midler i ID-offerets navn eller om formålet er å utføre kriminelle handlinger skjult gjennom andres identitet, eventuelt en kombinasjon av begge formål.
Innsyn i samtalelogg ville for eksempel gi klager informasjon om hvorvidt ID-tyven har prøvd å kontakte finansielle institusjoner i hans navn. Det ville kunne hjulpet klager til å iverksette riktige, preventive tiltak. Politiet har henlagt saken, og innsikt i en slik samtalelogg vil være den eneste muligheten han har til å forhindre at ID-tyveriet gir ham fremtidige økonomiske problemer.
Datatilsynet må pålegge B å gi A innsyn i opplysninger knyttet til abonnementet som er opprettet ved hjelp av hans fødselsnummer.
Datatilsynets vurdering
Etter GDPR artikkel 15 nr. 1 har den som det behandles opplysninger om - i loven kalt «den registrerte» - rett til innsyn. Retten til innsyn omfatter «bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og» slik informasjon som følger av bokstav a-h.
Innsynsretten gjelder den det behandles opplysninger om. I dette tilfellet er As fødselsnummer brukt til å opprette et kontantkortabonnement. Det er på det rene at det er tale om ID-tyveri, og abonnementet er sperret. Det er følgelig dokumentert at fødselsnummeret er urettmessig brukt til å opprette abonnement, og at opplysningene om bruk av abonnementet ikke skal knyttes til rette innehaver av fødselsnummeret.
Opplysninger som normalt er knyttet til kontantkortabonnement er opplysninger om utgående samtaler og gjenstående saldo. Eventuelle opplysninger registrert og knyttet til dette abonnementet er opplysninger om den personen som har brukt abonnementet. Da det er på det rene at det ikke er A som har brukt abonnementet, har han heller ikke krav på innsyn i disse opplysningene.
Personvernnemndas vurdering
Spørsmålet er om A har rett til innsyn i de personopplysninger som er knyttet til bruken av et mobiltelefonabonnement som urettmessig er opprettet med hans fødselsnummer.
Etter GDPR artikkel 15 nr. 1 har den som det behandles opplysninger om - i loven kalt «den registrerte» - rett til innsyn. Retten til innsyn omfatter bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og dessuten slik informasjon som følger av bokstav a-h i bestemmelsen.
Selv om et fødselsnummer entydig er knyttet til en person og dermed direkte identifiserer vedkommende, er det i dette tilfellet på det rene at As fødselsnummer er misbrukt av noen andre og at de personopplysningene som eventuelt fremkommer i tilknytning til det opprettede abonnementet hos B ikke er personopplysninger om A, men personopplysninger om den som har opprettet mobilabonnementet. GDPR artikkel 15 gir da heller ikke A rett til innsyn. Det er politiet som i et slikt tilfelle vil kunne be om utlevering av opplysninger. Når politiet ikke har funnet grunn til å etterforske ytterligere, kan ikke A velge å tre inn i den rollen.
A får etter dette ikke medhold i sin klage.
Vedtaket er enstemmig.
Vedtak
Datatilsynets vedtak om å avslutte saken opprettholdes. A har ikke krav på innsyn etter GDPR artikkel 15.
Oslo, 11. november 2019
Mari Bø Haugstad
Leder