Personvernnemndas vedtak 27. august 2024 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin, Malin Tønseth)
Saken gjelder klage fra Human-Etisk Forbund, på vegne av fem av sine medlemmer, samt likelydende klager fra tre enkeltpersoner som ikke er medlemmer av Human-Etisk forbund; A, B og C. Klagen gjelder Datatilsynets vedtak 28. juni 2023 der tilsynet avviste klage over tilsynets vedtak om irettesettelse av Den norske kirke for overtredelse av personvernforordningen.
Sakens bakgrunn
Kirkelovens automatiske tilhørighetsordning for barn i Den norske kirke ble opphevet ved ikrafttredelsen av den nye trossamfunnsloven 1. januar 2021. Den nye trossamfunnsloven erstattet både kirkeloven og lov om trudomssamfunn og ymist anna. I lovens forarbeider, Prop. 130 L (2018-2019) s. 141, følger det:
«Siden loven ikke lenger gir regler om at barn automatisk tilhører Den norske kirke så fremt én eller begge foreldrene er medlem, vil det ikke være et lovpålagt krav om at tilhørige skal inngå i registeret, jf. også merknadene til de enkelte bestemmelsene i lovforslaget § 17.»
Før den nye trossamfunnsloven trådte i kraft 1. januar 2021, fulgte det av kirkeloven § 3 nr. 2 at barn anses å høre inn under Den norske kirke såfremt en av foreldrene er medlem. Barn som ble ansett å høre inn under Den norske kirke, ble medlem av denne når de ble døpt. Dersom barnet fylte 18 år uten å være døpt, ble vedkommende ikke lenger ansett å høre inn under Den norske kirke, jf. § 3 nr. 5. Personer som ble ansett å høre inn under eller var medlem i Den norske kirke, ble registrert i Den norske kirkes sentrale medlemsregister, jf. § 3 nr. 10. Regler om registerføringen ble gitt av Kirkemøtet, og Kirkerådet er behandlingsansvarlig for det sentrale medlemsregisteret, jf. forskrift om Den norske kirkes medlemsregister § 4.
Tidligere har Den norske kirke mottatt digitale fødselsmeldinger direkte fra Folkeregisteret. Koblet til medlemsinformasjonen registrert på foreldre, kunne Den norske kirke dermed føre tilhørige inn i kirkens medlemsregister basert på disse opplysningene. I folkeregisterloven som trådte i kraft 1. oktober 2017 er opplysninger om slektskap underlagt taushetsplikt, jf. folkeregisterloven § 9-1, og kan bare utleves til offentlige og private virksomheter som har hjemmel i lov til å innhente disse opplysningene, jf. § 10-2. Den norske kirke hadde hjemmel til å motta fødselsmeldingene i overgangsordningen i folkeregisterloven § 13-1 fram til 1. oktober 2018, men hadde etter dette ikke noen slik lovhjemmel.
Human-Etisk Forbund og de individuelle klagerne (heretter klagerne) v/advokat Kristian Foss henvendte seg til Datatilsynet 28. februar 2020 og klaget på behandlingen av mindreåriges personopplysninger i Den norske kirke. De anførte at de eller deres barn fortsatt sto oppført som tilhørige i Den norske kirke, til tross for at statskirkeordningen var opphevet, ny folkeregisterlov var trådt i kraft og hjemmelen for tilgang til taushetsbelagte opplysninger fra Folkeregisteret hadde opphørt. Dette gjaldt også ett barn født etter 1. oktober 2018.
Datatilsynet ba 12. august 2020 Den norske kirke om å redegjøre for saken. Den norske kirke ga slik redegjørelse 2. september 2020. Datatilsynet ba om ytterligere redegjørelser 16. desember 2020 og 21. april 2021. Den norske kirke besvarte henvendelsene 22. januar og 11. mai 2021.
Datatilsynet varslet Den norske kirke 23. juni 2021 om at tilsynet ville fatte vedtak om irettesettelse for brudd på personvernforordningen artikkel 6 nr. 1 og artikkel 14 nr. 1 bokstav d og nr. 2 bokstav f, jf. artikkel 12 nr. 1. Datatilsynet sendte samme dag også et brev til Den norske kirke med påpeking av plikt knyttet til behandling av personopplysninger.
Både Den norske kirke og klagerne uttalte seg til varselet henholdsvis 1. juli og 7. september 2021. Den norske kirke beklaget bruddene på forordningen og tok tilsynets varslede vedtak om irettesettelse til etterretning. Klagerne anførte at reaksjonen «irettesettelse» var for mild.
Datatilsynet fattet 9. januar 2023 slikt vedtak, jf. personvernforordningen artikkel 58 nr. 2 bokstav b:
«Datatilsynet fatter ved dette vedtak om irettesettelse mot den norske kirke ved Kirkerådet, 818 066 872, for:
·Brudd på personvernforordningen artikkel 6 nr. 1, ved å innhente fødselsmeldinger for medlemmers barn fra Folkeregisteret fra 1. oktober til 14. november 2018, og ved å fortsette å lagre av personopplysningene som ble samlet inn gjennom fødselsmeldingene, uten gyldig rettslig grunnlag.
·Brudd på personvernforordningen artikkel 14 nr. 1 bokstav d og nr. 2 bokstav f, jf. artikkel 12 nr. 1, ved å ikke gi lett tilgjengelig informasjon til de registrerte om innsamlingen av fødselsmeldinger for medlemmers barn fra Folkeregisteret.»
Datatilsynet presiserte i vedtaket at en irettesettelse er en forvaltningsmessig reaksjon med formål å markere kritikk av de omtalte bruddene på reglene, og at en slik irettesettelse kan vektlegges ved vurdering av overtredelsesgebyr ved senere tilsvarende brudd på regelverket jf. personvernforordningen artikkel 83 nr. 2 bokstav i. Tilsynet opplyste at vedtaket kunne påklages av Den norske kirke.
Datatilsynet oversendte vedtaket til Human-Etisk Forbund 9. januar 2023. I følgebrevet skriver tilsynet at det anså bruddene som alvorlige, men ikke fant det nødvendig å reagere med et overtredelsesgebyr overfor Den norske kirke.
I klage på vedtaket 3. februar 2023 fremholdt klagerne at tilsynet burde ilagt et overtredelsesgebyr for å markere alvorligheten av personvernbruddet.
Datatilsynet oversendte klagen til Den norske kirke 7. mars 2023 som ga sine kommentarer til klagen 14. mars 2023.
Datatilsynet avviste klagen 28. juni 2023 under henvisning til at det ikke forelå klagerett, jf. forvaltningsloven § 28 første ledd.
Etter utsatt klagefrist, framsatte klagerne rettidig klage på avvisningsvedtaket 7. september 2023. Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sin avgjørelse.
Saken ble oversendt Personvernnemnda 8. februar 2024. Klagerne ble orientert om saken i brev fra nemnda 13. november 2023, og fikk anledning til å komme med kommentarer. Klagerne har gitt kommentarer i brev 5. mars 2024.
Saken ble behandlet i nemndas møte 27. august 2024. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Morten Goodwin, Hans Marius Tessem og Malin Tønseth. Utredningsleder Anette Klem Funderud var også til stede.
Datatilsynets vurdering i korte trekk
Det følger av forvaltningsloven § 28 første ledd at et «enkeltvedtak» kan påklages av en «part» eller annen med «rettslig klageinteresse» i saken.
Datatilsynets irettesettelse mot Den norske kirke er et «enkeltvedtak» som kirken i egenskap av å være «den avgjørelsen retter seg mot» kan klage på, noe som ikke ha blitt gjort.
Klagerne har ikke klagerett på Datatilsynets ileggelse av sanksjon, da dette ikke er en avgjørelse som retter seg mot klager og heller ikke er bestemmende for vedkommende sine rettigheter og plikter, jf. forvaltningsloven § 2. Personvernnemnda har i sakene PVN-2020-07 og PVN-2020-10 lagt til grunn at Datatilsynets valg av reaksjon – herunder unnlatelse av å ilegge overtredelsesgebyr for konstaterte lovbrudd – ikke er «bestemmende» for klagernes «rettigheter og plikter», og at dette dermed ikke er et «enkeltvedtak» som de registrerte kan påklage.
Datatilsynet legger til grunn at klagerne ikke er parter knyttet til Datatilsynets valg av reaksjon mot Den norske kirke. Tilsynet vurderer deretter om klagerne likevel har «rettslig klageinteresse» for dette vedtaket.
Datatilsynet legger til grunn at manglende ileggelse av overtredelsesgebyr ikke har noen rettsvirkninger for klagerne, eller klare/direkte faktiske konsekvenser for dem. Interessen i en strengere reaksjon er begrenset til at Den norske kirke straffes hardere. En slik interesse er ikke av en slik art at det foreligger «rettslig klageinteresse». Heller ikke anførselen om at et overtredelsesgebyr i større grad enn irettesettelse vil virke preventivt mot fremtidige brudd tilsier at klagerne har rettslig klageinteresse. Virkningen er for avledet for klagerne, både når det gjelder aktualitet og tilknytning, jf. også Bjørn O. Berg, Forvaltningssanksjoner 2005, side 93.
Datatilsynet konkluderer med at klagerne ikke har «rettslig klageinteresse», jf. forvaltningsloven § 28. Vilkårene for å behandle klagen er ikke oppfylt, og tilsynet avviser klagen.
Klagernes syn på saken i korte trekk
Vedtaket av 9. januar 2023 om irettesettelse mot Den norske kirke er et enkeltvedtak fordi det er en sanksjon mot Den norske kirke og derfor gjelder Den norske kirkes rettigheter og plikter, jf. forvaltningsloven § 2 bokstav b.
I tillegg til at partene i et enkeltvedtak har klagerett, har andre med «rettslig klageinteresse» klagerett, jf. forvaltningsloven § 28 første ledd. Det er ikke et krav at vedtaket samtidig er et enkeltvedtak overfor personene med rettslig klageinteresse. Da ville de uansett hatt klagerett som part.
Klagerett som andre særlige berørte personer følger et eget spor, med egne krav til tilknytning. Formålet er å utvide kretsen av personer som kan klage. Å vurdere om klagerne har klagerett ut ifra spørsmålet om irettesettelsen er et enkeltvedtak overfor klagerne, slik Datatilsynet gjør, er feil.
Muligens stammer misforståelsen fra Personvernnemndas saker i PVN-2020-07 og PVN- 2020-10 som Datatilsynet viser til. I begge sakene oppstiller Personvernnemnda spørsmål om «Datatilsynets avgjørelse, om ikke å gi noe pålegg eller ilegge noen sanksjon for dette bruddet, er en avgjørelse som er bestemmende for rettigheter og plikter for den/de registrerte og dermed et enkeltvedtak som de registrerte kan påklage», jf. PVN-2020-07. Dette er et riktig spørsmål kun dersom klagerne påstod å ha klagerett fordi de var part i saken, jf. forvaltningsloven § 28 første ledd og § 2 bokstav b og e. Riktig spørsmål i vår sak er a) om Datatilsynets avgjørelse om å irettesette Den norske kirke er et enkeltvedtak for noen, og om ja, b) om klagerne har rettslig klageinteresse.
Om man har rettslig klageinteresse beror på en konkret helhetsvurdering. Det overordnede spørsmålet er om vedtaket berører klagerne på en måte som gjør det rimelig og naturlig at vedkommende får klageadgang. Normen fastsetter hvor sterk kravets aktualitet og tilknytning til klagerne må være. Tilstrekkelig aktualitet kan etter Høyesteretts praksis foreligge også ved mer abstrakte rettsspørsmål hvor det eksisterer et behov for rettslig avklaring.
EØS-retten setter krav til effektiv håndheving av klagerett. Avgjørelsen om ikke å ilegge et overtredelsesgebyr er en avgjørelse som gjelder klagerne, jf. personvernforordningen artikkel 78. Klagerne er påvirket av vedtaket fordi det har utspring i ulovlig behandling av deres personopplysninger. Tilknytningen understrekes av at bruddene fortsatt hadde pågått hvis ikke klagerne hadde klaget.
Datatilsynet synes å ha laget et skille mellom vedtaket om at Den norske kirke har begått personvernbrudd og sanksjonen. Sanksjonen er imidlertid ikke et eget separat enkeltvedtak adskilt fra vedtaket om personvernbrudd, men en konsekvens av de konstaterte bruddene. Å sette opp et slikt skille, der Datatilsynet avgjør klageretten basert på klagernes tilknytning til én enkelt del av vedtaket (sanksjonen), er ikke i tråd med forvaltningsloven § 34 om at klageinstansen kan prøve alle sider av en sak.
Vilkåret om rettslig klageinteresse er oppfylt fordi:
- Tilknytning og aktualitet. Tilknytningen er åpenbar: Den norske kirke irettesettes for brudd på klagernes personvernrettigheter som følge av deres klage. Aktualitet foreligger fordi det er behov for en avklaring av sanksjonsstørrelse og -praksis for effektiv håndhevelse av personvernrettigheter i slike saker. Som nevnt anser Høyesterett også mer abstrakte rettsspørsmål for å kunne være aktuelle.
- En følbar reaksjon er den eneste måten klagerne kan verne seg. På grunn av rettighetens karakter – integritetsvern – er virkningsfulle rettsmidler mot parten som er ansvarlig for krenkelsen den eneste muligheten klagerne i praksis har til å beskytte seg. Ikke bare vil de færreste ha ressurser til å saksøke, domstolens mulighet til å overprøve forvaltningens skjønn er også begrenset.
- Sanksjonsvalget har betydning for klagernes fremtidige personvernrettigheter. Den ulovlige behandlingen av personopplysninger av klagerne har blitt opplevd som et brudd på klagernes livssynsutøvelse. En strengere reaksjon vil øke den preventive effekten. Dermed er det mindre sannsynlig at et lignende inngrep i personvernet vil skje igjen.
At personvernbruddet rammer mange personer, betyr ikke at hver enkelt person har noen mindre tilknytning til reaksjonen.
En part vil aldri klage på det den mener er et for mildt vedtak mot seg selv. Dersom kun parten selv har klagerett på sanksjoner, og Datatilsynet legger opp til en for mild praksis, er konsekvensen at denne milde praksisen aldri vil overprøves og skjerpes (av Personvernnemnda). Skjevheten ville medført at Personvernnemnda ikke kunne fylle sin rolle som overprøvingsorgan for Datatilsynet. Dermed ville kontrollen med Datatilsynet som tilsynsorgan blitt undergravet. At klagerne har klagerett, er med andre ord en forutsetning for at Personvernnemnda skal kunne overprøve Datatilsynet, sette riktig nivå for sanksjonspraksis og slik fylle sin funksjon.
Personvernnemndas vurdering
Fem av klagerne er representert av Human-Etisk Forbund. Etter nemndas vurdering faller Human-Etisk Forbund inn under den typen organisasjoner som etter fullmakt kan gis representasjonsrett etter artikkel 80, jf. forordningens fortalepunkt 142. Forvaltningsloven § 12 andre ledd åpner også for at Human-Etisk Forbund kan opptre som fullmektig på vegne av de registrerte som er medlemmer av forbundet.
Personvernforordningen artikkel 78 nr. 1 gir enhver fysisk eller juridisk person rett til et effektivt rettsmiddel overfor et bindende vedtak «som gjelder dem» og som er truffet av en tilsynsmyndighet. Det overlates til nasjonal rett å fastsette regler om behandling av klagen. Personvernnemndas virksomhet er regulert i personopplysningsloven § 22 og forskrift om behandling av personopplysninger 15. juni 2018 nr. 876 (personopplysningsforskriften) §§ 4 og 5. Det er de alminnelige saksbehandlingsreglene i forvaltningsloven som gjelder for Datatilsynets og nemndas behandling av klager, jf. Prop. 56 LS (2017-2018) punkt 26.5 og 27.5.
Av forvaltningsloven § 28 første ledd framgår det at enkeltvedtak kan påklages av en part eller annen med rettslig klageinteresse i saken. En part er en «person som en avgjørelse retter seg mot eller som saken ellers direkte gjelder», jf. forvaltningsloven § 2 bokstav e. Uttrykket «rettslig klageinteresse» er ikke definert i loven.
Nemnda har i sin praksis lagt til grunn at en registrert som får sine personopplysninger behandlet av en behandlingsansvarlig er å anse som part i en sak hvor Datatilsynet vurderer om den behandlingsansvarlige har behandlet personopplysningene om den registrerte i tråd med loven. Personvernnemnda har videre lagt til grunn at Datatilsynets avgjørelser om at den behandlingsansvarliges behandling av personopplysninger om den registrerte ikke er ulovlig, er en avgjørelse som også gjelder den registrerte og er bestemmende for vedkommendes rettigheter og plikter og dermed et enkeltvedtak som kan påklages.
I denne saken har Datatilsynet konkludert med at Den norske kirke har brutt personvernforordningen artikkel 6 nr. 1 ved å innhente fødselsmeldinger for medlemmers barn fra Folkeregisteret fra 1. oktober til 14. november 2018, og ved å fortsette å lagre disse personopplysningene uten gyldig rettslig grunnlag, fram til alle opplysningene ble slettet senest 1. januar 2021. Datatilsynet har også konkludert med at Den norske kirke har brutt personvernforordningen artikkel 14 nr. 1 bokstav d og nr. 2 bokstav f, jf. artikkel 12 nr. 1, ved å ikke gi tilstrekkelig informasjon til de registrerte om innsamlingen av fødselsmeldinger for medlemmers barn fra Folkeregisteret. I vedtaket ga Datatilsynet Den norske kirke en irettesettelse for disse overtredelsene. De registrerte har dermed fått medhold i at Den norske kirke har brutt reglene ved sin behandling av deres personopplysninger. Ved Datatilsynets behandling av dette spørsmålet har både Den norske kirke og de registrerte blitt ansett som parter.
Datatilsynet ila Den norske kirke en irettesettelse for personvernbruddet, som et korrigerende tiltak, jf. personvernforordningen artikkel 58 nr. 2 bokstav b. Det er ikke anført at vedtaket om irettesettelse av Den norske kirke er en avgjørelse som retter seg mot de registrerte eller direkte gjelder dem, slik at de skal anses som parter. Spørsmålet for nemnda er om klagerne har rettslig klageinteresse når det gjelder Datatilsynets valg av reaksjon mot Den norske kirke.
Personvernnemnda har i flere saker kommet til at de registrerte, som opplever at personopplysningene om dem blir ulovlig behandlet, ikke har klagerett over Datatilsynets valg av reaksjon, se PVN-2019-12, PVN-2020-07 og PVN-2024-01. Nemndas begrunnelse har vært at Datatilsynets vedtak om valg av reaksjon ikke er bestemmende for de registrertes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» dem, jf. § 2 første ledd bokstav e. Spørsmålet om de registrerte likevel kan ha rettslig klageinteresse, uten å være part, er ikke uttrykkelig omtalt.
Det følger av forvaltningsloven § 28 at de som har rettslig klageinteresse uten å være parter, har klagerett. Forvaltningsloven har ingen egen definisjon av rettslig klageinteresse. Kriteriet rettslig klageinteresse ses i sammenheng med tvisteloven § 1-3 om hvem som kan reise en sivil sak for domstolene. Når noen med rettslig klageinteresse benytter seg av klageretten, får vedkommende stilling som part i klagesaken, jf. Forvaltningslovutvalget, NOU 2019:5 side 379 og 183.
Tvisteloven § 1-3 lyder:
«(1) Det kan reises sak for domstolene om rettskrav.
(2) Den som reiser saken, må påvise et reelt behov for å få kravet avgjort overfor saksøkte. Dette avgjøres ut fra en samlet vurdering av kravets aktualitet og partenes tilknytning til det.»
Høyesterett uttaler følgende om forståelsen av bestemmelsen i HR-2021-417-P (Acer) avsnitt 121:
«For så vidt gjelder den overordnede forståelsen, nevner jeg helt stikkordsmessig de tre vilkårene som fremgår av ordlyden. For det første må gjenstanden for søksmålet være et «rettskrav». Etter andre ledd stilles det et krav til «aktualitet», som gjelder søksmålssituasjonen – det må være et reelt behov for rettsavklaring. Endelig er det et krav om «tilknytning» til søksmålsgjenstanden – saksøkeren må ha et beskyttelsesverdig behov for å få dom overfor saksøkte.»
Nemnda fastholder at en registrert som har vært utsatt for et brudd på personvernforordningen ikke har rettslig klageinteresse i spørsmålet om hvilket korrigerende tiltak som skal ilegges den behandlingsansvarlige, når personvernbruddet har opphørt.
Klagerne har i dette tilfellet fått medhold i at opplysningene om dem ble behandlet ulovlig og den ulovlige behandlingen har opphørt. Klagerne har da ikke lenger et reelt behov for å få reaksjonsspørsmålet vurdert på nytt. Overtredelsesgebyr etter personopplysningsloven er en administrativ sanksjon som har karakter av straff etter EMK artikkel 6. Det er tilsynsmyndigheten som vurderer nødvendigheten av å ilegge et slikt gebyr, som skal være virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Valg av reaksjon – overtredelsesgebyr eller irettesettelse – er ikke begrunnet i hensynet til «reparasjon» eller «hevn» for den registrerte. Klagernes mulighet til å verne seg mot personvernbrudd er derfor etter nemndas syn tilstrekkelig ivaretatt ved deres rett til å klage behandlingen inn for tilsynsmyndighetene, selv om de ikke får klagerett på selve reaksjonsfastsettelsen. Etter nemndas syn har ikke den registrerte et beskyttelsesverdig behov for å få prøvet reaksjonen mot den behandlingsansvarlige. Dette er et forhold mellom den behandlingsansvarlige og tilsynsmyndigheten.
Den registrerte som har vært utsatt for brudd på personvernforordningen kan imidlertid i noen tilfeller ha krav på erstatning for ikke-økonomisk skade, jf. personopplysningsloven § 30. Slike oppreisningskrav fra de registrerte behandles av domstolene og ikke Datatilsynet.
Det er riktig, som påpekt av klagerne, at nemndas tolkning av «rettslig klageinteresse» medfører at dersom Datatilsynet legger seg på en for mild praksis ved ileggelse av sanksjoner, vil denne praksisen ikke bli overprøvd fordi parten selv ikke vil klage dette inn for nemnda. Dette er likevel ikke et forhold som endrer nemndas vurdering av rettslig klageinteresse ved valg av reaksjon.
Nemnda er etter dette enig med Datatilsynet i at virkningen er for avledet for klagerne, både når det gjelder aktualitet og tilknytning. Nemnda slutter seg også til Datatilsynets vurdering om at heller ikke anførselen om at et overtredelsesgebyr i større grad enn irettesettelse vil virke preventivt mot fremtidige brudd tilsier at klagerne har rettslig klageinteresse.
Klagen over Datatilsynets valg av reaksjon mot Den norske kirke for brudd på personvernforordningen avvises.
Vedtaket er enstemmig.
Konklusjon
Datatilsynets vedtak om avvisning opprettholdes.
Oslo, 27. august 2024
Mari Bø Haugstad
Leder