Personvernnemndas vedtak 26. mai 2020 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Hans Marius Graasvold, Ellen Økland Blinkenberg og Hans Marius Tessem)
Saken gjelder klage fra A og B på Datatilsynets avgjørelse 20. januar 2020 der Datatilsynet avsluttet en sak fra X kommune om brudd på personopplysningssikkerheten uten å gi pålegg eller ilegge overtredelsesgebyr.
Sakens bakgrunn
Klagen har sin opprinnelse i kommunens behandling av en sak etter plan- og bygningsloven om fortetting i et villaområde. A og B har protestert mot planen i høringssvar til kommunen. De har også påpekt en rekke saksbehandlingsfeil i plansaksbehandlingen. Som vedlegg til høringsuttalelsen fulgte et dokument med konfidensielle helseopplysninger om A. Setningen med de konfidensielle opplysningene var sladdet av A før innsendelse, men teksten var likevel synlig.
Den 5. november 2019 oppdaget A at dokumentet med de sladdede opplysningene var lagt ut på kommunens offentlige saksliste, via kommunens nettsted, og at helseopplysningene var lesbare. A kontaktet kommunen som fjernet dokumentet etter 20 minutter. Personvernombudet i kommunen sendte melding om avvik til Datatilsynet 8. november 2019. Det framgikk av avviksmeldingen at det aktuelle dokumentet ikke var tilstrekkelig sladdet og at helseopplysninger på en av kommunens innbyggere kunne leses. Kommunen opplyste at feilen skyldtes en menneskelig svikt, og at rutinene ville bli gjennomgått for å forhindre at slike hendelser skjer igjen.
A og B kontaktet Datatilsynet 18. november 2019. De viste til kommunens brudd på personvernforordningen, samt andre saksbehandlingsfeil de mente var begått under planprosessen og stilte spørsmål om erstatningskrav etter personvernforordningen artikkel 82.
Datatilsynet orienterte A og B om at det allerede var opprettet sak om kommunens behandling av personopplysninger etter innsendt avviksmelding og at tilsynet arbeidet med saken.
Den 27. november 2019 avsluttet Datatilsynet avvikssaken fra kommunen uten å gi pålegg eller ilegge sanksjoner. Etter å ha vurdert avviksmeldingen og foretatt undersøkelser, konkluderte tilsynet med at kommunen hadde håndtert og fulgt opp avviket på en tilfredsstillende måte. Datatilsynet la til grunn at kommunen hadde truffet tiltak for å lukke avviket og begrense konsekvensene, samt hindre gjentakelse.
Den 2. desember 2019 sendte A e-post til Datatilsynet og orienterte om at hun har sendt et erstatningskrav til X kommune hjemlet i personvernforordningen artikkel 82 pkt. 1. Hun ba samtidig om å få opplyst om Datatilsynet kan pålegge kommunen å svare henne vedrørende erstatningskravet, dersom hun ikke mottar noe svar.
Etter å ha mottatt avslag på erstatningskrav fra kommunen 16. desember 2019, sendte A en ny henvendelse til Datatilsynet 18. desember 2019 hvor hun påklager kommunens avslag på erstatning og ber Datatilsynet vurdere om det er grunnlag for erstatning.
Datatilsynet traff deretter avgjørelse 20. januar 2020 med overskriften «klage på behandling av personopplysninger og spørsmål om erstatningskrav». Det framgår av avgjørelsen at Datatilsynet ikke finner grunn til å gå videre med saken. Tilsynet viser til at selv om kommunen hadde gjort en feil ved å publisere et dokument som ikke var tilstrekkelig sladdet, hadde kommunen meldt fra om avviket til tilsynet som vurderte de iverksatte tiltakene som tilstrekkelige, og deretter avsluttet saken uten å fatte noe vedtak mot kommunen. Når det gjaldt erstatningsspørsmålet henviste Datatilsynet A og B til domstolene som rett instans. Tilsynet ga videre opplysning om klagemulighet til Personvernnemnda.
A og B framsatte rettidig klage på Datatilsynets avgjørelse 9. februar 2020 Tilsynet vurderte klagen, men opprettholdt sin avgjørelse. Saken ble oversendt Personvernnemnda 19. mars 2020. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer. Begge parter har inngitt kommentarer.
Saken ble behandlet i nemndas møte 26. mai 2020. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Gisle Hannemyr, Hans Marius Graasvold, Ellen Økland Blinkenberg og Hans Marius Tessem. Sekretariatsleder Anette Klem Funderud var også tilstede.
A og Bs syn på saken i korte trekk
Personvernnemnda må i sin behandling vektlegge konteksten bruddet har foregått i, og hvordan kommunens øverste administrative og politiske ledelse har håndtert saken.
Helseopplysningen sto i et dokument som hadde status som høringssvar i en plansaksbehandling som skulle politisk behandles i planutvalg, formannskap og kommunestyre høsten 2019. Helseopplysningen var forsøkt sladdet fra innsendernes side.
Ordfører, leder av planutvalget og rådmann kjente til at innholdet i e-posten innbefattet helseopplysninger. Ingen sikret likevel tilstrekkelig sladding da e-posten fikk status som høringsdokument i plansaksbehandlingen, og senere kom til politisk behandling.
Kommunen sendte dokumentet med utilstrekkelig sladdede helseopplysninger til en 40-50 talls mottakere på e-post. Dette oppga aldri rådmannen til Datatilsynet. Datatilsynet avsluttet dermed saken på ufullstendig grunnlag. Vi aner den dag i dag ikke hvordan dette ble fulgt opp, hvordan konsekvensene vurderes, hva som er sannsynlige konsekvenser av bruddet på personopplysningssikkerheten, eller tiltak for å håndtere bruddene.
Rådmannen i kommunen aviser enhver mulighet for klageadgang i kommunen på rådmannens egen avvisning om erstatning. I følge rådmannen treffes det ikke enkeltvedtak når kommunen gir uttrykk for sitt syn på erstatningskrav og vi har ingen klagemulighet.
Politisk og administrativ toppledelse hadde alle muligheter til å ivareta personvernforordningen. Ingen tok ansvar. Med slik dokumenthåndtering er innbyggernes og vår rettssikkerhet truet. Kommuneledelsen nekter for brudd på personvernforordningen. Enhver dialog om erstatning har konsekvent blitt avvist. Vi opplever stadig å bli henvist til rettsvesenet. Prop. 56 LS s. 160 presiserer at Personvernnemnda skal være en lavterskel klageordning ved klage over Datatilsynets vedtak, og at klage til domstolen ved uenighet vil være en stor byrde for den enkelte. Vi ber Personvernnemnda med dette om hjelp slik at saken kan løses innenfor mest mulig rimelighet. At sensitive helseopplysninger er kommet på ville veier til et ukjent antall personer er en enorm psykisk belastning. Den avvisende og arrogante holdningen hos kommunes toppledelse legger ekstra stor bør til byrden. Hadde ordfører og rådmann senket «guarden», lagt seg flate og beklaget, så ville dette kunne ha løst seg på en helt annen måte enn slik ordfører, rådmann og kommunalsjef har lagt opp til.
Vi er utsatt for en alvorlig personvernkrenkelse. Behandlingsansvarlig har stor skyld. Det er for lettvint av Datatilsynet å henvise til domstolen uten eget kvalifisert skjønn i saken. Som minimum burde tilsynet oppfordre kommunen til å finne en løsning og komme dem i møte med erstatning.
Kommunes syn på saken i korte trekk
I den innsendte avviksmeldingen fra 8. november 2020 framkommer det at kommunen mener det aktuelle publiserte dokumentet ikke var tilstrekkelig sladdet og at helseopplysninger på en av kommunens innbyggere dermed kunne leses. Feilen skyldtes en menneskelig svikt. Feilen ble rettet opp etter ca. 20 minutter. Rutinene ble gjennomgått for å forhindre at slike hendelser skjer igjen.
I brev til nemnda 14. mai 2020 opplyser kommunen at de startet sin behandling av saken vedrørende personopplysningen med utgangspunkt i klagers anførsel om at det forelå brudd på plikten til å sikre konfidensialitet og det er denne anførselen fra klager som er lagt til grunn i avviksmeldingen. Som det går fram av avviksmeldingen var saken ikke ferdig behandlet i kommunen da avviksmeldingen ble gitt. Ut fra den fortsatte gjennomgangen av saken er kommunen ikke enig med klager i at det forelå et konfidensialitetsbrudd ved at det på nettstedet enkelt kunne leses en personopplysning gjennom den sladdingen som klager hadde foretatt på dokumentet. Det vil også være logisk at når klager først sladdet den aktuelle opplysningen så framstod klagerens egen sladding som tjenlig da vedkommende sendte fra seg dokumentet.
Datatilsynets vurdering
De involverte partene er enige om faktum i forbindelse med avviket som er innmeldt til tilsynet, og at det foreligger et brudd på plikten til å sikre konfidensialitet ved behandling av personopplysninger. Det var A og B selv som sladdet dokumentet med helseopplysningene. Ved «gjennomlysing» av dokumentet kunne det meste av det som var sladdet likevel leses.
Dokumentet ble tilgjengeliggjort via kommunens hjemmeside. Publiseringen av de opplysningene som er for dårlig skjermet er også en behandling av personopplysninger som faller inn under personvernforordningen artikkel 2, jf. «helt eller delvis automatisert behandling».
Datatilsynet har ikke gått videre med saken overfor kommunen da tilsynet tidligere har vurdert spørsmålet ved avviksmelding fra kommunen 8. februar 2019. Saken ble avsluttet i brev 27. november 2019, uten at det ble fattet vedtak mot kommunen. Tilsynet la til grunn at feilen ble rettet etter 20 minutter og at bruddet på personopplysningssikkerheten ble tilfredsstillende håndtert av kommunen ved at rutinene skulle gjennomgås på nytt. Ytterliggere skritt i saken er ikke nødvendig. Tilsynet fastholder derfor beslutningen om å avslutte saken.
Når det gjelder den del av klagen som er knyttet til et eventuelt erstatningsansvar, har
Datatilsynet informert klager om at slike krav må bringes inn for domstolene, jf. personvernforordningen artikkel 82 nr. 6.
Personvernnemndas vurdering
Saken gjelder klage på Datatilsynets avgjørelse om å avslutte en sak om brudd på personopplysningssikkerheten uten å gi pålegg eller ilegge sanksjoner.
Datatilsynet la til grunn ved sin avslutning av saken at publiseringen av saksdokumenter med konfidensielle opplysninger på kommunens nettsted representerte et brudd på personopplysningssikkerheten i kommunen, jf. personvernforordningen artikkel 4 nr. 12. Bestemmelsen definerer brudd på personopplysningssikkerheten som «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.» Tilsynet la videre til grunn at bruddet på personopplysningssikkerheten ble ansett tilfredsstillende håndtert av kommunen og at det ikke var behov for ytterligere tiltak eller reaksjon fra tilsynets side. Dette standpunktet ble formidlet både til kommunen selv ved Datatilsynets avslutning av saken overfor dem 27. november 2019 og ved Datatilsynets avslutning av saken overfor A og B ved brev 20. januar 2020.
A og B har deretter klaget på mangelen av konsekvenser for X kommune for det sikkerhetsbruddet som har skjedd.
A og Bs klage gjelder primært X kommunes avslag på deres fremsatte krav om erstatning under henvisning til personvernforordningen artikkel 82. Datatilsynet har korrekt vist til at dette må bringes inn for domstolene, jf. personvernforordningen artikkel 82 nr. 6. Personvernnemnda er enig med Datatilsynet i at det faller utenfor Datatilsynets, og dermed også Personvernnemndas, kompetanse å ta stilling til berettigelsen av det framsatte erstatningskravet. Denne delen av A og Bs klage må derfor avvises.
For øvrig reiser klagen spørsmålet om Datatilsynets avgjørelse om å avslutte avvikssaken mot kommunen - etter å ha konstatert brudd, men uten å ilegge sanksjoner eller pålegg - er et enkeltvedtak som kan påklages av A og B.
Personvernforordningen artikkel 78 nr. 1 gir enhver fysisk eller juridisk person rett til et effektivt rettsmiddel overfor et bindende vedtak «som gjelder dem» og som er truffet av en tilsynsmyndighet, og overlater til nasjonal rett å fastsette regler om behandling av klagen. Det er de alminnelige saksbehandlingsreglene i forvaltningsloven som gjelder for Datatilsynets og nemndas behandling av klager, jf. Prop. 56 LS (2017-2018) punkt. 26.5 og 27.5. Av forvaltningsloven § 28 første ledd framgår det at enkeltvedtak kan påklages av en part eller annen med rettslig klageinteresse i saken. En part er en «person som en avgjørelse retter seg mot eller som saken ellers direkte gjelder», jf. forvaltningsloven § 2 bokstav e.
Etter forvaltningsloven § 2 første ledd bokstav a er «vedtak» definert slik:
«en avgjørelse som treffes under utøving av offentlig myndighet og som generelt eller konkret er bestemmende for rettigheter eller plikter til private personer (enkeltpersoner eller andre private rettssubjekter)».
Forvaltningsloven deler vedtakene i to undergrupper – enkeltvedtak og forskrifter, jf. forvaltningsloven § 2 første ledd bokstav b og c. Enkeltvedtakene er vedtak som «gjelder rettigheter eller plikter til en eller flere bestemte personer», jf. § 2 første ledd bokstav b. Som det framgår, har vedtaksbegrepet i forvaltningsloven et snevrere innhold enn den mer generelle betegnelsen «avgjørelse», som også benyttes i forvaltningsloven, jf. for eksempel lovens § 6 om habilitetskrav.
Skillet mellom enkeltvedtak og andre avgjørelser har stor betydning for hvilke prosessuelle rettigheter partene og andre berørte i forvaltningssaken har, og for hvilke regler offentlige forvaltningsorganer må følge ved behandlingen av saken. Saksbehandlingsreglene i forvaltningsloven kap. IV-VI om bl.a. forhåndsvarsel, utrednings- og opplysningsplikt, dokumentinnsyn, begrunnelse og klage, får bare anvendelse i saker som gjelder enkeltvedtak, jf. forvaltningsloven § 3 første ledd.
Om den nærmere avgrensningen mellom enkeltvedtak og andre avgjørelser sier Sivilombudsmannen i SOM-2010-2482:
«Den nærmere avgrensingen mellom enkeltvedtak og andre avgjørelser må skje etter en konkret vurdering. Utgangspunktet må tas i ordlyden, men vurderingen kan ikke begrenses til en drøftelse av om avgjørelsen etter en språklig tolkning faller inn under legaldefinisjonen i lovens § 2. Også reelle hensyn vil stå sentralt. Det må spørres om avgjørelsen er av en slik karakter at forvaltningslovens regler om enkeltvedtak bør komme til anvendelse. Hensynet til partenes rettssikkerhet, forvaltningens arbeidsbyrde og andre praktiske forhold vil måtte tillegges vesentlig vekt.
Det må altså foreligge en 'avgjørelse' som er 'bestemmende for rettigheter eller plikter'. Disse to vilkårene henger tett sammen. Det er ikke klagerett over prosessledende beslutninger. Det tradisjonelle utgangspunktet er at forvaltningens unnlatelse av å bruke sin kompetanse til inngrep, ikke er en avgjørelse som er bestemmende for rettigheter og plikter, med mindre det motsatte fremgår av loven. Utgangspunktet utfordres imidlertid i visse tilfeller. I Graver, Alminnelig forvaltningsrett (3. utgave 2007) s. 401 flg. tas det til orde for at 'spørsmålet løses ... best gjennom lovgivning i tilknytning til det enkelte forvaltningsområde, bl.a. ut fra en legislativ vurdering av om inngrepskompetansen først og fremst er begrunnet i mer generelle samfunnsmessige hensyn, eller om den også er begrunnet i hensynet til tredjemann, slik at denne bør gis konkrete rettigheter i saksbehandlingen.' Videre argumenteres det for at '[h]vorvidt det er et vedtak i forvaltningslovens forstand når et forvaltningsorgan unnlater å bruke en inngrepskompetanse etter oppfordring fra en som mener seg berørt, beror på en konkret fortolkning av den aktuelle inngrepskompetansen.»
Nemnda har i sin praksis lagt til grunn at en registrert som får sine personopplysninger behandlet av en behandlingsansvarlig er å anse som part i en sak hvor Datatilsynet vurderer om den behandlingsansvarlige har behandlet personopplysningene om den registrerte i tråd med loven. Personvernnemnda har videre lagt til grunn at Datatilsynets avgjørelse om at den behandlingsansvarliges behandling av personopplysninger om den registrerte ikke er ulovlig og i strid med personopplysningsloven, er en avgjørelse som er bestemmende for rettigheter og plikter for den registrerte og dermed et enkeltvedtak som kan påklages.
I nærværende sak konkluderte Datatilsynet med at kommunens publisering av saksdokumenter på kommunens nettside representerte et brudd på personopplysningsloven og personvernforordningen fordi publiseringen også innebar en publisering av helseopplysninger om en av klagerne. A og B har dermed fått medhold i at kommunen har brutt plikten til å sikre konfidensialiteten ved sin behandling av personopplysningene. Spørsmålet for nemnda blir om Datatilsynets avgjørelse, om ikke å gi noe pålegg eller ilegge noen sanksjon for dette bruddet, er en avgjørelse som er bestemmende for rettigheter og plikter for den/de registrerte og dermed et enkeltvedtak som de registrerte kan påklage.
Datatilsynet har i sin avslutning av saken overfor A og B i brev 20. januar 2020 opplyst at vedtaket kan påklages innen tre uker og vist til forvaltningsloven §§ 28 og 29. Datatilsynet har med andre ord selv oppfattet dette som et enkeltvedtak som gir klagerne de rettigheter som følger av forvaltningslovens regler om enkeltvedtak. Datatilsynets vurdering av dette forholdet er ikke nærmere redegjort for, og kan, slik nemnda ser det, ikke være avgjørende for nemndas vurdering av dette spørsmålet.
At Datatilsynet valgte ikke å gi en reaksjon, verken i form av pålegg eller ileggelse av overtredelsesgebyr, er ikke en avgjørelse som retter seg mot A og B og er heller ikke bestemmende for deres rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» A og B, jf. § 2 første ledd bokstav e. Datatilsynet har derfor ikke truffet et enkeltvedtak som gir A og B klagerett. Nemnda viser også til PVN-2019-12 hvor nemnda har lagt tilsvarende rettsoppfatning til grunn.
Vilkårene for å behandle klagen fra A og B er dermed ikke oppfylt og saken skal avvises.
Vedtaket er enstemmig.
Vedtak
Datatilsynet har ikke truffet et enkeltvedtak som kan påklages av A og B. Saken avvises.
Oslo, 26. mai 2020
Mari Bø Haugstad
Leder