Datatilsynet taler med 2 tunger - del I
- troenaas
- Oct 6, 2023
- 3 min read
Updated: Dec 4, 2023
Saksnr 20/03083
Endringsvedtak datert den 5. september 2023.
Behandling av klagers personopplysninger ved innsynet i kollegaens e-postkasse
Det siteres følgende fra endringsvedtaket side 5.
"Ut fra sakens opplysninger legger vi til grunn at arbeidsgiver gjennomførte e-postinnsynet i kollegaens e-postkasse basert på mistanker rettet mot kollegaen. På dette tidspunktet var det ikke mistanker rettet mot klager."
"Arbeidsgiver kan altså ikke påvise overholdelse av prinsippene om formålsbegrensning og lovlighet etter personvernforordningen artikkel 5 nr. 1 bokstav a og b."
"Basert på dette konkluderer vi med at arbeidsgiver ikke har overholdt ansvarlighetsprinsippet, jf. artikkel 5 nr. 2."
Rettslig grunnlag for innsyn i klagers e-postkasse
Det siteres følgende fra endringsvedtaket side 7.
"Klager anfører at vurderingen må ses i sammenheng med innsynet i kollegaens e-postkasse. Klager mener at opplysningene som arbeidsgiver begrunnet innsynet med, var anskaffet på ulovlig måte."
"Vi har som nevnt forståelse for klagers synspunkt. Det avgjørende må imidlertid være om arbeidsgiver hadde en begrunnet mistanke på tidspunktet for innsynet, og ikke hvordan mistanken oppstod. Spørsmål om lovligheten av behandlingen av klagers personopplysninger i forbindelse med innsyn i kollegaens e-postkasse er vurdert ovenfor."
"Ut fra sakens opplysninger legger vi til grunn at arbeidsgiver under innsynet i kollegaens epostkasse kom over e-poster som ga «begrunnet mistanke» om at klager kunne ha medvirket til underslag og lekket konfidensiell informasjon."
For det første
Først konkluderer Datatilsynet med at det ikke var mistanker rettet mot klager i tilknytning til underslaget ved innsyn i e-postkassen til kollegaen. Deretter foretar de en helomvending og påstår at det forelå begrunnet mistanke mot klager i tilknytning til underslaget.
Behandlingsansvarlig har ikke lagt frem e-poster som mistenkeliggjør klager i tilknytning til underslaget. Det er derfor oppsiktsvekkende at Datatilsynet legger til grunn slike grunnløse og udokumenterte påstander.
For det andre
Det henvises til vedtak i Personvernnemnda datert den 20. juni 2017 - PVN-2017-07.
"Etter Datatilsynets vurdering har virksomheten klart overtrådt et regelverk som denne kjente eller burde ha kjent til. De har med vilje brukt informasjon for å oppnå et eget formål til ulempe for den ansatte. Det at virksomheten selv karakteriserer forholdet som bagatellmessig kan de ikke bli hørt med."
"Virksomheten har fått bekreftet mistanken på en rettstridig måte. Det setter den ansatte i en tilnærmet umulig situasjon. Vedkommende var ikke varslet om dette kom til å skje, det var heller ikke rutinene internt. Resultatet er at ansatte i denne situasjonen stilles overfor ensidig makt fra en arbeidsgiver noe reglene i personopplysningsloven og til dels arbeidsmiljøloven er ment å beskytte arbeidstakere imot. Det taler for at det i denne saken reageres med overtredelsesgebyr."
For det tredje
Daværende daglig leder hos arbeidsgiver gjennomførte et innsyn i e-post uten rettslig grunnlag og uten forhåndsvarsel. Lederen var på jakt etter informasjon som kunne benyttes for å si opp en ansatt han ønsket å kvitte seg med.
To tidligere styremedlemmer hos arbeidsgiver har avgitt skriftlige vitneerklæringer som bekrefter at daværende daglig leder hadde en "hitliste" med personer han ønsket å kvitte seg med, og at klager var en av disse.
I henhold til PVN-2017-07 er det denne type handlinger personopplysningsloven og til dels arbeidsmiljøloven er ment å beskytte arbeidstakere imot.
For det fjerde
I opprinnelig vedtak datert 28. november 2022 skriver Datatilsynet følgende:
"Flere opplysninger i saksdokumentene hører under myndighetsområdet til enten Arbeidstilsynet, domstolene eller påtalemyndigheten."
Dette er en erkjennelse av de alvorlige bruddene som har skjedd i saksnr 20/03083 og den urett som er begått mot klager, men allikevel konkluderte ikke Datatilsynet med irettesettelse eller overtredelsesgebyr.
Hvorfor skal andre beskyttes mot slike overgrep, ref. PVN-2017-07, men ikke klager i saksnr 20/03083?
Konklusjon
Se etterfølgende tabell:
I PVN-2017-17 blir etterfølgende vektlagt med tyngde | I saksnr 20/03083 blir tilsvarende brudd |
"Behandlingsansvarlig har med vilje brukt informasjon for å oppnå et eget formål til ulempe for den ansatte. " | Det samme har også skjedd i denne saken, men ignoreres fullstendig av Datatilsynet. |
"Mistanken oppsto på en rettstridig måte" | Det samme har også skjedd i denne saken, men ignoreres fullstendig av Datatilsynet |
"Noe reglene i personopplysningsloven og til dels arbeidsmiljøloven er ment å beskytte arbeidstakere imot." | Personopplysningsloven og arbeidsmiljøloven beskytter i henhold til Datatilsynet ikke klager i denne saken. |
Datatilsynet og Personvernnemnda konkluderte i PVN-2017-07 med brudd på Personopplysningsloven samt overtredelsesgebyr.
Når saksnr 20/03083 er så alvorlig at det også hører inn under myndighetsområdet til Arbeidstilsynet, domstolene og/eller påtalemyndigheten, hvilket er mer alvorlig enn bruddene i PVN-2017-07. Hvorfor ilegges ikke overtredelsesgebyr?
I denne saken følger ikke Datatilsynet tidligere praksis i Norge, ei heller Personvernrådets retningslinjer knyttet til overtredelsesgebyr - Guidelines 04/2022 - hvor hovedmålet er av overtredelsesgebyret skal være:
virkningsfulle og effektive
i forhold til overtredelses
avskrekkende
lik praksis i hele EØS
Vi kan videre konkludere med at Datatilsynets hovedmål:
"Et godt personvern for alle"
gjelder for alle, bortsett fra klager.
Dette er kun ett av svært mange tilfeller i denne saken, hvor Datatilsynet snakker med 2 tunger. Disse vil bli dokumentert i senere innlegg på denne bloggen.
Datatilsynet ignorerer også fullstendig behandlingsansvarliges bruk av dokumentert uriktige erklæringer.
Støtt vår Spleis!
Skrevet av Torstein Rønaas
Comments