Home

PVN-2015-05 Skan-kontroll II

Datatilsynets referanse: 
13/00330-25/Cbr

Personvernnemndas avgjørelse av 27. januar 2016 (Olav Torvund, Ingvild Hanssen-Bauer, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynetsvedtak om overtredelsesgebyr.

2 Saksgang og faktum

Datatilsynet gjennomførte en kontroll den 5. juni 2013 hos AS Skan-kontroll. Kontrollen skjedde med hjemmel i personopplysningsloven § 42 tredje ledd nr. 3. Under henvisning til Datatilsynets varsel om vedtak av 29. august 2013, med hjemmel i personopplysningslovens § 46, ble det truffet følgende vedtak den 5. november samme år:

1. AS Skan-kontroll må senest innen 1.3.2014 etablere databehandleravtaler for alle løpende og fremtidige databehandleroppdrag, jf personopplysningslovens § 15. Det vises til tilsynsrapportens pkt 6.1.1.

2. AS Skan-kontroll må senest innen 1.4.2014 avslutte sin behandling av personopplysninger som ikke er omfattet av et avtaleregulert databehandleroppdrag som nevnt i pkt 1, jf personopplysningslovens § 15. Opplysningene må enten slettes eller tilbakeføres til den behandlingsansvarlige. Del vises til kontrollrapportens punkt 6.3.

3. AS Skan-kontroll må senest innen 1.4.2014 etablere rutiner for gjennomføring av planlagte og systematiske risikovurderinger, jf personopplysningsloven § 13, jf personopplysningsforskriften § 2-4. Det vises til kontrollrapportens punkt 6.4.2.

4. AS Skan-kontroll må senest innen 1.4.2014 etablere rutiner for gjennomføring av planlagte og systematiske sikkerhetsrevisjoner og gjennomføre disse, jf personopplysningsloven § 13, jf personopplysningsforskriften § 2-5. Det vises til kontrollrapportens punkt 6.4.3.

5. AS Skan-kontroll må senest innen 1.4.2014 etablere tilstrekkelig informasjonssikkerhet ved å avslutte sin praksis med å sende personopplysninger med behov for konfidensialitetsbeskyttelse over ukryptert e-post, jf personopplysningsloven § 13, jf personopplysningsforskriften § 2-11. Det vises til kontrollrapportens punkt 6.4.5.1.

6. AS Skan-kontroll må senest innen l.6.2014 etablere tilstrekkelig informasjonssikkerhet ved sin lagring av personopplysninger i SK-journal ved at det etableres løsning for segmentering av personopplysninger fra ulike behandlingsansvarlige, jf personopplysningsloven § 13, jf personopplysningsforskriften §§ 2-11 og 2-14. Det vises til kontrollrapportens punkt 6.4.5.4.

7. AS Skan-kontroll pålegges å betale et overtredelsesgebyr til statskassen, pålydende kroner seks hundre tusen, for å ha behandlet personopplysninger i strid med personopplysningslovens § 15, § 11 jf 8 og 9, § 14 og § 13. Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf personopplysningslovens § 47a.

Vedtakene ble påklaget og oversendt til Personvernnemnda for klagesaksbehandling. Personvernnemnda fattet vedtak i saken den 27.10.2014, og tok klagen delvis til følge. Vedtak nummer 6 (segmentering) ble opphevet. Nemnda kom til at det ikke kan utledes et krav fra personopplysningslovens bestemmelser om informasjonssikkerhet om at personopplysninger som behandles på vegne av ulike behandlingsansvarlige skal segmenteres. Vedtak nummer 7 (overtredelsesgebyr) ble opphevet, og sendt tilbake til ny behandling i Datatilsynet. De øvrige vedtakspunktene ble opprettholdt av Personvernnemnda.
     Under henvisning til Personvernnemdas vedtak av 27.10.2014 traff Datatilsynet følgende vedtak den 17.11.2014:

I medhold av personopplysningslovens § 46 første ledd pålegges AS Skan-kontroll å betale et overtredelsesgebyr til statskassen, pålydende kroner 600.000 for å ha behandlet personopplysninger i strid med personopplysningslovens § 15, § 11 jf 8 og 9, § 14 og § 13.

Skan-kontroll påklaget vedtaket i brev av 25.11.2014.
     Saken ble oversendt Personvernnemnda 21.1.2015, som mottok saken 27.1.2015. Klager ble orientert om dette i brev fra nemnda datert 30.1.2015, med frist til uttalelse innen 23.2.2015. Fristutsettelse ble innvilget til 23.3.2015. Klager har kommentert saken i brev av 16.3.2015, som er begjært unntatt offentlighet i sin helhet.

3 Klagers anførsler

Skan-kontroll anfører i at det ikke er grunn til å ilegge overtredelsesgebyr, og at gebyret under enhver omstendighet er satt for høyt.
     Det anføres at Datatilsynet ikke har korrigert for at det opprinnelige vedtaket bygget på flere faktiske feil.
     Overtredelse av § 14 er ett av de forhold Datatilsynet ilegger overtredelsesgebyr for. Slik Skan-kontroll forstår Datatilsynets vedtak, er Skan-kontroll databehandler for de data som Skan-kontroll behandler på vegne av sine kunder (butikkene). Kundene er de behandlingsansvarlige. Reglene om internkontroll retter seg ikke mot Skan-kontroll i egenskap av databehandler. Pliktsubjektet etter personopplysningsloven § 14 er den behandlingsansvarlige (som er Skan-kontrolls kunder). Skan-kontroll kan vanskelig se at den behandling Skan-kontroll utfører på vegne av de behandlingsansvarlige skal medføre plikter ut over det som følger av databehandleravtalen med den behandlingsansvarlige, og det som for øvrig følger av personopplysningsloven § 15 om databehandlerens rådighet over opplysningene.
     Selv om man skulle komme til at personopplysningslovens § 14 om internkontroll skulle gjelde for Skan-kontroll sin behandling av personopplysninger som databehandler for sine kunder, vil Skan-kontroll hevde at det kan reises tvil om denne bestemmelsen hjemler overtredelsesgebyr for eventuelle mangler ved internkontrollsystemet.
     Personopplysningsloven § 47 gir Datatilsynet hjemmel for ileggelse av tvangsmulkt (dagmulkt), som løper når Datatilsynet gir pålegg etter § 12, § 27, § 28 og § 46. Datatilsynet kan i henhold til denne bestemmelsen fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfylling av pålegget, inntil pålegget er oppfylt. Som det fremgår av bestemmelsen er det ikke adgang for Datatilsynet til å ilegge tvangsmulkt etter § 47 ved pålegg om etablering av internkontrollsystem etter § 14. Manglende etablering av internkontrollsystem (overtredelse av § 14) er heller ikke belagt med straff etter § 48 i loven.
     Ut fra forarbeidene til loven § 46 vil Skan-kontroll hevde at det ville skape liten sammenheng i regelverket dersom Datatilsynet skulle kunne ilegge et overtredelsesgebyr for et forhold som lovgiverne ikke har sett som så alvorlig at de har hjemlet en rett for Datatilsynet til å fastsette en tvangsmulkt for å sikre at forholdet korrigeres.
     Skan-kontroll vil også påpeke at overskriften til § 46 lyder: "Overtredelsesgebyr. Pålegg om endring eller opphør av ulovlige behandlinger". Dette indikerer at bruk av overtredelsesgebyr skal ha som formål å påvirke virksomheten til å endre eller opphøre med ulovlige behandlinger.
     Dette blir enda tydeligere når man ser på vurderingstemaene i § 46 annet ledd med hensyn til vurderingen av hvorvidt gebyr skal ilegges, og ved vurderingen av hva som skal vektlegges ved utmålingen av gebyret. Paragraf 46 annet ledd har følgende ordlyd:

Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på

a) hvor alvorlig overtredelsen har krenket de interesser loven verner,
b) graden av skyld,
c) om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak  kunne ha forebygget overtredelsen,
d) om overtredelsen er begått for å fremme overtrederens interesser,
e) om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen,
f) om det foreligger gjentakelse,
g) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff og
h) overtrederens økonomiske evne.

Alle punktene a) - h) tar utgangspunkt i at det foreligger en overtredelse som krenker de interessene loven verner. Det er ikke slik at internkontrollsystemet og etterlevelse av dette, er en selvstendig personverninteresse. Internkontrollsystemet er et hjelpemiddel for å redusere risikoen for at det skal skje en krenkelse av de personverninteressene loven verner (jf personopplysningsloven § 1 om lovens formål og de interessene loven verner).
     I henhold til forarbeidene gir denne bestemmelsen Datatilsynet hjemmel til å pålegge den som har brutt personopplysningsloven eller forskriftene å betale et overtredelsesgebyr. Departementet videreførte forslaget fra høringsnotatet vedrørende lovendringen i 2009 om ikke å knytte overtredelsesgebyret til overtredelser av nærmere utvalgte bestemmelser i personopplysningsloven. Bestemmelsen skiller således ikke mellom hvilke bestemmelser i personopplysningsloven eller forskriftene som er overtrådt. Forarbeidene gir imidlertid føringer for hvilke typer overtredelser av loven bestemmelsen er myntet på. Uttalelser i forarbeidene (Ot.prp.71 (2007-2008)) lyder:

Etter departementets syn bør en bestemmelse om overtredelsesgebyr ha et minst like bredt virkeområde som lovens straffebestemmelse. Departementet foreslår derfor at overtredelsesgebyr skal kunne ilegges ikke bare den behandlingsansvarlige, men enhver som har overtrådt personopplysningsloven eller forskrifter gitt i medhold av denne.

I Skan-kontrolls tilfelle er det interessant at det ikke er angitt at denne bestemmelsen skal ha et videre virkeområde enn de øvrige straffebestemmelsene. Videre fremgår det av forarbeidene at:

Datatilsynets avgjørelse av om overtredelsesgebyr skal ilegges, vil bero på en skjønnsmessig helhetsvurdering, men annet ledd bokstav a) til h) angir momenter som det særlig skal legges vekt på ved vurderingen. Disse momentene skal også vektlegges i vurderingen av hvor stort et eventuelt overtredelsesgebyr skal være.

Om Datatilsynets utøvelse av skjønn i forbindelse med hjemmelen for å fastsette overtredelsesgebyr og om gebyrets størrelse heter det i forarbeidene til lovendringen fra 2009 (Ot.prp.71 (2007-2008)):

Tilsynsmyndighetene står etter departementets forslag ikke fritt i vurderingen av om overtredelsesgebyr skal ilegges. I tråd med Sanksjonsutvalgets anbefalinger gir lovutkastet føringer for vurderingen. Etter forslaget skal det – både med hensyn til om gebyr skal ilegges og eventuelt hvor stort det skal være – særlig legges vekt på blant annet hvor alvorlig overtredelsen er og om andre reaksjoner blir ilagt overtrederen eller noen som handler på dennes vegne, jf lovutkastet § 46 annet ledd bokstav a og g. Bokstav g er en presisering av forslaget i høringsnotatet. Det skal også særlig legges vekt på blant annet graden av skyld, jf bokstav b, og på om det foreligger gjentakelse, jf bokstav f. Forslaget gir den nødvendige fleksibilitet for Datatilsynet til å vurdere i hvilke situasjoner overtredelsesgebyr er en egnet reaksjonsmåte, og i hvilke tilfeller det anses nødvendig å anmelde forholdet. Samtidig er den enkeltes rettssikkerhet ivaretatt ved at tilsynsmyndighetens skjønn er underlagt klare føringer gjennom de momenter som skal tillegges vekt i vurderingen av om gebyr skal ilegges og hvor stort gebyret skal være.

Departementet viderefører forslaget i høringsnotatet om at overtredelsesgebyret ikke bør være standardisert, dvs. lyde på et bestemt beløp, men fastsettes i den enkelte sak. Departementet legger til grunn at lovovertredelsene og -overtrederne vil kunne være svært ulike. Lovovertrederen kan for eksempel være en fysisk person som behandler personopplysninger, eller et kommersielt foretak med stor omsetning. Også ved utmålingen av gebyret må Datatilsynet følge de retningslinjene som er angitt over. Det innebærer at det skal legges vekt på de momentene som angis i lovutkastet (hvor alvorlig overtredelsen er, graden av skyld osv.).

Det fremgår således klart av forarbeidene at «den enkeltes rettssikkerhet (skal være) ivaretatt ved at tilsynsmyndighetens skjønn er underlagt klare føringer gjennom de momenter som skal tillegges vekt i vurderingen av om gebyr skal ilegges og hvor stort gebyret skal være».
     I følge forarbeidene skal det etter bokstav a) legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. Av personopplysningsloven § 1 annet ledd følger at loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger (jf formålsangivelsen i loven § 1). Dette vurderingsmomentet legger opp til at en blant annet skal se hen til formålet med loven.
     Med «graden av skyld» i bokstav b) siktes det til hvor klanderverdig handlingen er, for eksempel om den bærer preg av et uhell eller om den har et mer systematisk eller planmessig preg.
     Etter bokstav c) skal det legges vekt på om overtrederen kunne ha forebygget overtredelsen ved for eksempel interne rutiner. Dette har også betydning for graden av skyld, jf. bokstav b. Momentet vil særlig ha betydning når overtrederen er behandlingsansvarlig eller annen overordnet.
     Bokstav d) angir som moment «om overtredelsen er begått for å fremme overtrederens interesser». Interessene må ikke nødvendigvis være av økonomisk art. Vurderingstemaet i bokstav d er nært knyttet til momentet i bokstav e. Etter den sistnevnte bokstaven skal det legges vekt på om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen. Det er tilstrekkelig at overtredelsen etter sin art er egnet til å oppnå en fordel, jf «kunne ha oppnådd». Fordelen må ikke nødvendigvis være av økonomisk karakter.
     Skan-kontroll finner ikke grunn til å gå nærmere inn på bokstav f), g) eller h).
     Problemet er at det ilagte gebyr bygger på delvis uriktig faktum da Datatilsynet ikke har hensyntatt de fakta som forelå på tilsynstidspunktet og som har vært tilgjengelig for tilsynet. Videre mener Skan-kontroll at gebyret er satt uforholdsmessig høyt i forhold til overtredelsens grovhet.

De fakta som hevdes å være feil gjengis ikke i vedtaket da de er begjært unntatt offentlighet.

4 Datatilsynets vurdering

Tilsynet har lagt Personvernnemndas vedtak til grunn og har funnet det sannsynliggjort at Skan­kontroll har overtrådt personopplysningslovens § 15, § 11 jf §§ 8 og 9 og § 14. Nemnda stadfestet tilsynets vedtak på disse punktene og saken er for disse punktenes vedkommende endelig avgjort. Klagers påstander om at lovens bestemmelser ikke er brutt, herunder at det allikevel forelå gyldige databehandleravtaler, finner tilsynet ikke grunn til å kommentere ytterligere.
     Slik saken står nå er et av hovedspørsmålene om det foreligger klar sannsynlighetsovervekt for at Skan-kontroll har overtrådt nevnte bestemmelser, og for at de øvrige vilkårene i § 46 er oppfylt.
     Det er etter dette på det rene hvilke dokumenter som skal vurderes opp mot personopplysningslovens bestemmelser om databehandleravtaler og internkontroll (§§ 15 og 14). Det er også på det rene at disse ikke oppfyller lovens krav til slike, jf Personvernnemndas vedtak.
     I klagen hevder selskapet at tilsynet har lagt uriktig faktum til grunn på enkelte mer konkrete punkter. Blant annet hevder selskapet at det faktisk benyttet kryptert kommunikasjon allerede på kontrolltidspunktet, og at det aldri fant sted noen utlevering av personopplysninger til Semac. Tilsynet kan ikke legge selskapets fremstillinger til grunn, slik de fremkommer i klagen. Beskrivelsen samsvarer ikke med tilsynets egne observasjoner og virksomhetens redegjørelser under selve kontrollen, og den reflekteres heller ikke i selskapets rutiner og øvrige dokumenter som ble lagt frem for tilsynet. Da tilsynet ikke finner konkrete holdepunkter som støtter opp under selskapets påstander, finner tilsynet ikke grunn til å ta disse anførslene til følge.
     Tilsynet er enig med selskapet i at det foreligger noen uklarheter i denne saken, både med hensyn til hvilke behandlinger selskapet faktisk gjennomfører jf særlig beskrivelsen i klagens punkt l), hvilket ansvar selskapet har (altså når de opptrer som henholdsvis behandlingsansvarlig og databehandler) og hvilke formål som ligger til grunn for de ulike behandlingene. Disse uklarhetene gir imidlertid ikke grunnlag for å hevde at beviskravet derved ikke er oppfylt. Det vises til at uklarhetene nettopp er en direkte konsekvens av de påviste manglene ved avtalene mellom Skan-kontroll og dennes oppdragsgivere, og ved internkontrollen for selskapets egne behandlinger.
     Tilsynet kan ikke se at det fremkommer opplysninger i klagen om medfører endringer i grunnlaget for vedtaket, og fastholder at det foreligger klar sannsynlighetsovervekt for at Skan-kontroll har brutt de aktuelle bestemmelsene i personopplysningsloven.
     Tilsynet har lagt til grunn at lovbruddene gjelder «omfattende behandling». I klagen hevder selskapet at dets lovbrudd kun gjelder en liten del av selskapets virksomhet.
     Selskapet har i egenskap av å være databehandler manglet de nødvendige avtaler, jf personopplysningsloven § 15. I egenskap av å være behandlingsansvarlig manglet selskapet konsesjon og behandlingsgrunnlag, jf personopplysningsloven § 33 og §§ 8 og 9. Det hefter derved mangler ved det rettslige grunnlaget for, og ved reguleringen av, det aller vesentlige av selskapets behandlinger.
     Når det gjelder utmåling av overtredelsesgebyret, jf § 46, mener selskapet at gebyret er for høyt, sammenlignet med praksis i andre saker. Konkret viser selskapet til et vedtak overfor Pixima AS. Tilsynet er enig i at de to sakene har mange likhetspunkter. Imidlertid skiller sakene seg ved at Skan-kontrolls behandling er betydelig mer omfattende enn Piximas behandling, både i antall registrerte, antall opplysningstyper og antall oppdragsgivere. Skan-kontrolls behandling innebærer også en større spredning av personopplysninger enn hva Piximas behandling gjorde. De lovbruddene som er avdekket i denne saken er derved langt mer alvorlige enn i saken vedrørende Pixima. Endelig skiller sakene seg ved at Skan-kontroll har en langt bedre økonomisk bæreevne enn Pixima. Slik tilsynet ser det harmonerer tilsynets utmåling i disse avgjørelsene godt.
     Selskapet mener også at overtredelsesgebyret må reduseres, som følge av at Personvernnemnda opphevet vedtaket om segmentering. Utmålingen av overtredelsesgebyr skal baseres på en konkret helhetsvurdering, hvor overtredelsens omfang er et moment. For
det første vil tilsynet peke på at vedtaket i dette tilfellet knytter seg til flere andre alvorlige
lovbrudd som er stadfestet av nemnda – herunder brudd på grunnleggende krav til rettslig grunnlag. I tillegg var segmentering et av de mindre alvorlige lovbruddene vedrørende informasjonssikkerhet, sammenlignet med de som ble stadfestet av nemnda; vedtak om risikovurderinger, sikkerhetsrevisjoner og kryptert kommunikasjon av sensitive personopplysninger. Manglende segmentering har ikke i seg selv resultert i at tilsynet har ilagt overtredelsesgebyr. Selv om antall vedtakspunkter er redusert i forhold til det opprinnelige vedtak, mener tilsynet altså ikke at overtredelsens omfang derved er redusert i en slik grad at det bør få betydning for utmålingen.
     Endelig vises det til at andre momenter enn overtredelsens omfang er tillagt stor betydning ved utmålingen, herunder overtredelsens alvorlighetsgrad og virksomhetens skyld.

5 Personvernnemndas syn

Eva Jarbekk og Arve Føyen valgte å fratre etter en habilitetsvurdering. Nemnda har tatt dette til etterretning. Varamedlemmer ble kalt inn.

Personvernnemnda skal vurdere Datatilsynets ileggelse av overtredelsesgebyr, herunder gebyrets størrelse. Saken er en fortsettelse av PVN-2014-01 Skan-kontroll. I den saken kom Personvernnemnda til at konsesjon ikke kunne gis på bakgrunn av innsendt materiale. Videre ga nemnda sin tilslutning til Datatilsynets vedtak i punktene 1, 2 og 5. Punktene 3 og 4 var oppfylt. Nemnda ga klager medhold i klagen over punkt 6. For så vidt gjaldt punkt 7 kom nemnda til at Datatilsynet måtte foreta en fornyet vurdering av overtredelsene og gebyrets størrelse basert på nemndas vedtak. Datatilsynet har opprettholdt vedtaket om gebyr stort kr 600 000.
     Overtredelsene er endelig avgjort i PVN-2014-01. Nemnda skal i denne saken utelukkende vurdere gebyrileggelsen og gebyrets størrelse.
     Skan-kontroll har anført at de ikke er pliktsubjekt etter personopplysningsloven § 14. Nemnda skal bemerke at klager er pliktsubjekt etter § 14 for så vidt gjelder behandling av personopplysninger der klager er behandlingsansvarlig.
     Det følger av personopplysningsloven § 46 annet ledd at ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på de momenter som er nevnt i bokstavene a til h.
     Etter bokstav a) skal det legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. I denne saken besto overtredelsen i manglende og/eller ufullstendige databehandlingsavtaler. Videre hadde klager opprettet et varslingsregister uten konsesjon hvor Skan-kontroll delte sensitive opplysninger ukryptert. Etter nemndas syn representerer dette grove brudd på personopplysningsloven. Det var således tale om alvorlige krenkelser av de interesser som personopplysningsloven verner, slik som grunnleggende personvernhensyn, herunder behovet for personlig integritet og privatlivets fred, jf § 1 annet ledd.
     Når det gjelder graden av skyld, jf § 46 bokstav b), skal det ved vurderingen legges vekt på om overtredelsen er resultat av et uhell eller en planmessig, villet handling. Her finner nemnda at skyldgraden er høy, idet klager var klar over det de gjorde. Da legger nemnda særlig vekt på at virksomheten med viten og vilje har behandlet sensitive personopplysninger uten konsesjon og ukryptert. Skan-kontroll har videre unnlatt å følge opp en konsesjonssøknad til tross for at de åpenbart hadde en oppfordring til å gjøre det. Nemnda mener at klager hadde en klar handlingsplikt for å undersøke konsesjonssøknaden. Klager var dessuten nærmest til å undersøke status for søknaden.
     Videre skal det ifølge § 46 bokstav c) legges vekt på om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen. Dette var en villet handling, jf drøftelsen under punkt b) ovenfor.
     Ifølge § 46 bokstav d) skal det vektlegges om overtredelsen er begått for å fremme overtrederens interesser. Nemnda mener at når Skan-kontroll har basert deler av sin virksomhet på å selge tjenester som de ikke har lov til å selge, har Skan-kontroll sett bort fra lovlige premisser for virksomheten. Overtredelsen er således begått i overtrederens interesse.
     Videre skal det legges vekt på om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen, jf bokstav e). Nemnda viser her til bokstav d) over og legger vekt på at dersom konsesjonssøknaden hadde blitt behandlet så ville Skan-kontroll ikke ha blitt innvilget konsesjon til den tjenesten de leverte. Virksomheten har således hatt som siktemål å oppnå en fordel ved salg av disse tjenestene. Om klager faktisk har oppnådd denne fordelen, er ikke relevant. Det er hensikten som er avgjørende.
     Det følger av § 46 bokstav f) at det skal vektlegges om det foreligger gjentakelse. I denne saken er dette momentet mindre relevant idet det ikke foreligger gjentakelse av en enkeltstående overtredelse, men nemnda legger vekt på at overtredelsen har pågått over tid og at det således foreligger en vedvarende krenkelse.
     Det skal legges vekt på om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff, jf bokstav g). Det er ikke tilfelle i denne saken.
     Endelig skal det legges vekt på overtrederens økonomiske evne, jf bokstav h). Skan-kontroll hadde ifølge Brønnøysundregistrene et resultat på kroner 10 millioner i 2014. Omsetningen i 2014 var på kroner 158 millioner. Gebyret utgjør således 6 % av resultatet i 2014. Det er et betydelig gebyr, men det reflekterer også alvorligheten i krenkelsen og skyldgraden i denne saken. Imidlertid finner nemnda, etter å ha vurdert Datatilsynets gebyrpraksis, at reaksjonen er noe streng i nærværende sak. Nemnda setter derfor gebyret ned skjønnsmessig til kroner 400 000.

6 Vedtak

Klagen tas delvis til følge. Gebyret nedsettes til kroner 400 000.

Oslo, 27. januar 2016

Olav Torvund
Leder