Personvernnemndas vedtak 8. november 2022 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Hans Marius Tessem, Morten Goodwin, Malin Tønseth, Heidi Talsethagen)
Saken gjelder klage fra A på Datatilsynets vedtak 3. februar 2021 om avvisning av klage på grunn av manglende klagerettigheter.
Sakens bakgrunn
A kontaktet Datatilsynet 16. mars 2019 og varslet om det hun oppfattet som gjentatte brudd på personvernregelverket over lengre tid i X kommune. I henvendelsen beskrives konkrete brudd innenfor kommunalområdet oppvekst, inkludert Y skole, der As barn var elev. A hadde også sendt en begjæring om innsyn i barnets elevmappe og klaget til kommunen over manglende etterlevelse av innsynsbegjæringen. I brev til Datatilsynet 22. april 2019 ble varselet til tilsynet også utvidet til å gjelde klage over manglende etterlevelse av reglene om innsyn.
Datatilsynet orienterte A i e-post 16. august 2019 om at tilsynet mottar svært mange henvendelser knyttet til innsynsbegjæringer og at de ikke oppretter sak om innsyn før en innsynsbegjæring er avslått fra den behandlingsansvarlige. I og med at A på dette tidspunktet var i dialog med kommunen om innsyn ble hun orientert om at tilsynet ikke ville starte behandlingen av en klagesak på bakgrunn av As henvendelse. Hun ble anbefalt å ta kontakt med kommunens personvernombud og tilsynets e-post ble også sendt i kopi til personvernombudet.
Med bakgrunn i As varsel om X kommune, åpnet Datatilsynet tilsynssak overfor kommunen. I brev til X kommune 20. august 2019 ba Datatilsynet kommunen blant annet om å redegjøre for rutiner for håndtering av personopplysningssikkerheten i skolene og ba kommunen om å svare på spørsmål knyttet til forholdene som A hadde beskrevet i sin henvendelse til Datatilsynet.
Datatilsynet orienterte A i e-post samme dag om at tilsynet ville åpne tilsynssak overfor kommunen og pålegge kommunen å svare på spørsmål om rutiner for internkontroll og informasjonssikkerhet. Tilsynet opplyste at spørsmålene som ble stilt til kommunen var knyttet til kommunens plikter som behandlingsansvarlig, og ikke til As rettigheter. A ble orientert om at hun ikke ville anses som part i tilsynssaken og at hun derfor heller ikke ville få kopi av korrespondansen. A ble orientert om at dokumentene i hovedsak ville være offentlige og tilgjengelige på Datatilsynets postlister. Når det gjaldt As krav om retting, jf. personvernforordningen artikkel 16, opplyste tilsynet at de hadde påpekt dette overfor kommunen. Tilsynet forutsatte at kommunen ville svare ut dette og oppfordret A til å gi tilsynet beskjed dersom det ikke skjedde.
I brev 27. august 2019 ga A uttrykk for at hun var fornøyd med at tilsynet hadde besluttet å gå videre med saken.
Kommunen ga sin redegjørelse i brev til Datatilsynet 30. oktober 2019. A sendte ytterligere brev til Datatilsynet i november 2019 og i januar 2020 hvor hun utdypet sitt syn på det hun mener er kritikkverdig behandling av personopplysninger i kommunen.
Datatilsynet avsluttet saken i brev til X kommune 6. november 2020. Tilsynet konkluderte med at det ikke forelå systemsvikt i kommunen, og ga kommunen veiledning om etterlevelse av personvernforordningen.
I brev 27. november 2020 klaget A på tilsynets saksbehandling og beslutningen om å avslutte saken overfor kommunen uten å ilegge pålegg.
Datatilsynet avviste klagen i vedtak 3. februar 2021.Datatilsynet la til grunn at det ikke var truffet noe enkeltvedtak som kunne påklages og at A uansett ikke var å anse som part i tilsynssaken overfor kommunen.
A klaget 24. februar 2021på Datatilsynets avvisningsvedtak. Datatilsynet redegjorde ytterligere for avvisningen i brev 30. april 2021. A ga sine kommentarer til dette i brev 30. mai 2021.
Datatilsynet fant ikke grunnlag for å endre sin avgjørelse og sendte saken til Personvernnemnda 12. mai 2022. A ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med kommentarer. A har gitt kommentar i brev 1. juni 2022.
Saken ble behandlet i nemndas møte 8. november 2022. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Hans Marius Graasvold, Hans Marius Tessem, Morten Goodwin, Malin Tønseth og Heidi Talsethagen. Sekretariatsleder Anette Klem Funderud var også til stede.
Datatilsynets vurdering i korte trekk
Tilsynet har behandlet As henvendelse til tilsynet i samsvar med personvernforordningen artikkel 57 nr. 1 bokstav f og undersøkt saken så langt tilsynet har funnet det hensiktsmessig.
Datatilsynet har benyttet sin undersøkelsesmyndighet og har pålagt kommunen å redegjøre for saken, jf. artikkel 58 nr. 1 bokstav a. Tilsynet har ved flere anledninger veiledet kommunen om den behandlingsansvarliges plikter etter regelverket. Etter å ha vurdert kommunens svar avsluttet Datatilsynet tilsynssaken overfor kommunen fordi tilsynet ikke anså det som hensiktsmessig å gå videre med den. Tilsynet anså det tilstrekkelig at kommunen ble gitt tydelig informasjon om at de må fortsette å kontinuerlig arbeide med å sikre etterlevelse av personvernregelverket.
Datatilsynet påpeker at det viktigste virkemiddelet for å forebygge at brudd gjentas, er å sørge for at de som opplever brudd kan klage til den behandlingsansvarlige slik at avviket blir oppdaget, behandlet og varslet til Datatilsynet i tråd med regelverket. Arbeidet med å sikre gode nok rutiner og tilstrekkelig informasjonssikkerhet er en kontinuerlig prosess og det må erkjennes at det skjer feil. Selv om alle feil potensielt har uheldige konsekvenser og føles belastende for den det gjelder, anser ikke Datatilsynet det som hensiktsmessig å sanksjonere alle slike brudd på personopplysningssikkerheten.
Etter Datatilsynets vurdering har tilsynssaken bidratt til at X kommune har forbedret rutinene sine og at de fortsetter sitt kontinuerlige arbeid for å sikre etterlevelse av personvernregelverket.
Datatilsynet viser videre til at vilkårene for å kunne klage til Personvernnemnda er for det første at tilsynet har fattet et enkeltvedtak. For det andre må den som klager være part i saken jf. forvaltningsloven § 2 første ledd bokstav e. Ingen av disse vilkårene er oppfylt i denne saken.
Datatilsynet har ikke truffet noe vedtak i saken som kan påklages, jf. forvaltningsloven § 2 første ledd bokstav b. Uansett er Datatilsynets beslutning om å avslutte saken overfor kommunen ikke en beslutning som retter seg mot A eller som direkte gjelder henne. Hun er derfor ikke part i saken og har ikke klagerett.
Datatilsynet viser også til at selv om A anses som part i en sak som gjelder klage over kommunens uriktige behandling av personopplysninger om hennes barn, så har hun ikke klagerett på resultatet av tilsynets behandling av saken overfor kommunen, jf. PVN-2019-07 og PVN-2019-12.
As syn på saken i korte trekk
Hun klager på Datatilsynets avgjørelse om å avvise hennes klage. Hun har som part i saken klagerett på Datatilsynets behandling av den opprinnelige klagen 16. mars 2019. Datatilsynets avvisningsvedtak er feil.
Hun klaget til Datatilsynet fordi X kommune ved en rekke anledninger har brutt hennes og hennes barns personvernrettigheter. Det er særlig alvorlig at regelbruddene har vært gjentakende og rammet barn. Hensynet til barnets beste er ikke hensyntatt av Datatilsynet i denne saken, jf. barnekonvensjonen artikkel 3 nr. 1.
Hun benyttet retten til å klage til Datatilsynet, jf. personvernforordningen artikkel 77. Det følger av bestemmelsen at tilsynet «skal underrette klageren om klagebehandlingsforløpet og utfallet av klagen». Hennes opprinnelige klage til Datatilsynet har ikke blitt realitetsbehandlet, og hun har som part ikke blitt underrettet av Datatilsynet om utfallet. Da hun ved en tilfeldighet oppdaget tilsynets brev i kommunens postliste, klaget hun på utfallet og avslutningen av saken overfor kommunen.
Datatilsynet har avsluttet klagen uten at det underliggende er løst. Tilsynet har valgt å se gjennom fingrene overfor X kommunes vedvarende regelbrudd.
Dette er en sak som handler om kommunens brudd på personvernregelverket overfor henne og hennes barn. I henhold til forvaltningsloven er hun part i saken fordi saken direkte gjelder henne og hennes barn, og fordi deres rettigheter rammes hvis Datatilsynet avslutter saken uten reaksjon. Hun har klagerett også på utfallet av saken overfor X kommune.
Det er ikke irrelevant for dem hvordan tilsynet reagerer på regelbruddene som gjelder dem. Mangel på reaksjon er i praksis det samme som aksept for utførte og nye regelverksbrudd. Blir ikke denne saken håndtert skikkelig, er det svikt i håndhevingssystemet.
Personvernnemndas vurdering
Datatilsynet har avvist As klage og har vist til at det ikke er truffet noe enkeltvedtak i tilsynssaken som gir klagerett, samt at A uansett ikke er part i saken mot kommunen. Datatilsynets avgjørelse om avvisning er derimot et enkeltvedtak, jf. forvaltningsloven § 2 tredje ledd.
Nemnda skal vurdere om det var riktig av Datatilsynet å avvise As klage. Vilkårene for å kunne klage Datatilsynets avgjørelser inn til Personvernnemnda er for det første at tilsynet har fattet et enkeltvedtak, jf. forvaltningsloven § 2 første ledd bokstav b. For det andre må den som klager være part i saken, jf. forvaltningsloven § 28, jf. § 2 første ledd bokstav e.
Datatilsynet valgte å opprette en tilsynssak. I tilsynssaken ble det ikke truffet noe enkeltvedtak, da tilsynet, etter å ha innhentet kommunens redegjørelse, ga veiledning og deretter avsluttet saken uten å gi noe pålegg. Tilsynets avgjørelse om å avslutte saken er ikke bestemmende for kommunens rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a og b. Verken kommunen eller andre vil ha klagerett etter forvaltningsloven over denne beslutningen.
Spørsmålet for nemnda er hvilket handlingsrom tilsynet, når det mottar et varsel eller en klage på mulige brudd på personopplysningsloven, har med hensyn til å behandle en sak videre uten å behandle klager som part. Nemnda har innledningsvis redegjort for Datatilsynets beslutning 20. august 2019 om å åpne tilsynssak mot kommunen, og redegjørelsen til A samme dag om dette, med opplysning om at hun ikke var å anse som part i tilsynssaken.
As henvendelse til Datatilsynet i mars 2019 gjaldt hennes bekymring for det hun oppfattet som gjentatte brudd på personvernlovgivningen over tid i X kommune, og særlig ved Y skole hvor hennes barn var elev. For å underbygge sin bekymring ga hun en beskrivelse av ulike hendelser knyttet til behandling av personopplysninger både om eget barn, men også hendelser knyttet til andre barn på skolen. Hun omtaler beskrivelsene som eksempler på det hun mener er kommunens eller skolens manglende oppmerksomhet på personvern, satt i system.
En slik henvendelse kan forstås på to måter. Den kan for det første oppfattes som et varsel eller et tips til Datatilsynet om at X kommune, avdeling oppvekst, og særlig Y skole, bryter personvernreglene ved sin behandling av personopplysninger. Et slikt varsel kan medføre at Datatilsynet åpner en tilsynssak og ber om en redegjørelse fra den behandlingsansvarlige, slik tilsynet gjorde i denne saken. I en slik sak er det normalt bare den behandlingsansvarlige som anses som part. Henvendelsen kan imidlertid også forstås som en klage fra A med anmodning om at en eller flere konkrete pågående brudd på personopplysningsloven vedrørende hennes eller hennes barns personopplysninger skal opphøre, eventuelt en anmodning om å få Datatilsynet til å ta stilling til om en konkret behandling av slike personopplysninger er ulovlig. Hvordan henvendelsen oppfattes kan få betydning for den videre behandlingen av saken hos tilsynet.
Datatilsynet ga A veiledning når det gjaldt hennes krav om innsyn og oppfordret henne til å ta kontakt med personvernombudet i kommunen. Når det gjaldt et konkret rettingskrav opplyste tilsynet at tilsynet hadde påpekt dette overfor kommunen og at tilsynet forutsatte at kommunen ville svare ut dette og ba A gi beskjed dersom det ikke skjedde. For øvrig legger nemnda til grunn at tilsynet oppfattet henvendelsen som et varsel om manglende kunnskap eller manglende respekt for personvernlovgivningen i X kommune og at dette var noe som rammet mange, ikke bare A og hennes barn. Tilsynet besluttet som følge av dette å åpne en tilsynssak og be kommunen om en redegjørelse, samtidig som de orienterte A om dette, jf. e-post 20. august 2019.
Personvernforordningen skal sikre både individuelle rettigheter og den behandlingsansvarliges generelle etterlevelse av personvernreglene. Spørsmålet om individets rett til å bli anerkjent som part i en klagesak etter personvernforordningen var til vurdering i en sak for Förvaltningsrätten i Stockholm (dom 31.10.2022 (Mål 3308-22)). Förvaltningsrätten pekte på at det er uforenlig med unionsretten dersom den enkelte, ved ikke å bli anerkjent som part i saken, vil komme i en ugunstig posisjon, med hensyn til sine rettigheter etter forordningen. Retten la i denne saken til grunn at vedkommende klager skulle anses som part i saken for det som gjaldt hans klage og behandlingen av hans personopplysninger.
Etter nemndas vurdering er situasjonen annerledes i vår sak. Det var forsvarlig av Datatilsynet å legge til grunn at As henvendelse, når man ser bort fra innsyns- og rettingsspørsmålet, var et generelt varsel om kommunens håndtering av personopplysninger. At A ikke var tilfreds med at tilsynet avsluttet saken overfor kommunen uten å gi pålegg, endrer ikke hennes status i tilsynssaken og gir henne heller ingen klagerett.
Som det framgår av tilsynets korrespondanse med A, forutsatte tilsynet at de spesifikke spørsmål knyttet til retting av og innsyn i As personopplysninger ble vurdert av kommunen. En eventuell beslutning fra kommunens side om ikke å gi rett til innsyn og/eller sletting, vil kunne bringes inn for Datatilsynet til individuell behandling.
A har ikke fått medhold i sin klage.
Nemnda finner grunn til å påpeke at personvernforordningen artikkel 57 nr. 1 bokstav f oppstiller et krav om at tilsynsorganet skal behandle klager som er inngitt av en registrert innen en rimelig frist. A klaget over Datatilsynets avvisning av hennes klage 24. februar 2021. Etter en ytterligere begrunnelse fra tilsynets side 30. april 2021 og As merknader til dette 12. mai 2021, synes klagen ferdig forberedt for oversendelse til Personvernnemnda. Klagen ble likevel først oversendt ett år senere, den 12. mai 2022. Det er uheldig.
Vedtaket er enstemmig.
Konklusjon
Datatilsynets avvisning av klagen opprettholdes.
Oslo, 8. november 2022
Mari Bø Haugstad
Leder